AWS Route 53现在允许创建CAA
记录以限制可能为域颁发证书的证书颁发机构。我想使用指令issue
来限制为我的域颁发证书,如下例所示:
example.org. CAA 128 issue "letsencrypt.org"
我从 Amazon 的证书管理器 (ACM) 获取我的域名证书。我应该如何配置一个将证书颁发限制到此服务的域名?我不想犯错,以防破坏证书的自动续订!
答案1
更新 2017-09
AWS 指南中的官方 ACM 指南包含有关 CAA 的部分: http://docs.aws.amazon.com/acm/latest/userguide/setup-caa.html
它确实包含一个与下面相同的示例,声称 ACM 现在尊重 CAA 配置,并澄清不应设置任何标志(flags=0
):
如果您没有指定以下四个 Amazon CA 之一的 CAA 记录,ACM 无法向您的域或子域颁发证书
请记住,在亚马逊在其认证实践声明中承诺无条件 CAA 验证之前,
如果 CA 或 CA 的附属机构是域 DNS 的 DNS 运营商(如 RFC 7719 中所定义),则 CAA 检查是可选的。
原始帖子
你可以使用
example.org. CAA 0 issue "amazon.com"
为什么选择 amazon.com?
因为几乎所有的 CA 都建议使用他们控制下最容易记住的域名,而亚马逊尚未做出任何更具体的沟通。
https://www.rfc-editor.org/rfc/rfc6844#section-3
issue <发行者域名> [; <name>=<value> ]* :
issue 属性条目授权域名持有者或在该域名持有者的明确授权下行事的一方为发布该属性的域颁发证书。
为什么不使用标志(例如flags=128
:标记为关键)?
因为截至目前(2017-08),亚马逊并不关心 CAA 记录,因此设置它,可能不遵守他们稍后发布的指导方针,你只是在为弄清楚出了什么问题而感到头痛。
亚马逊可能会或可能不会另外建议使用 aws.amazon.com 和/或账户名,他们向浏览器供应商提交的报告看起来确实如此。
这Amazon Trust 公共文档存储库包含一个名为的文档Amazon Trust Services Certification Practice Statement v1.X
,您可以在其中搜索“CAA”。在 v1.0.5 中,它指出
Amazon Root CA 在颁发证书之前不会检查 CAA 记录。