如何設定DNS CAA 紀錄
發佈人 Jamkai Chan, lastmodifiedby Sherry Li 發表於 16 12月 2022 10:18 上午
|
|
什麼是 DNS CAA 紀錄CAA 紀錄是一種 DNS 紀錄,您在與憑證授權商 (CA) 取得 SSL 憑證的驗證過程中會使用到的額外紀錄。 CAA 紀錄可以指定那些憑證商才可以核發憑證給您的網域,如果不是指定的憑證商,是無法核發憑證給您的網域作使用。 此紀錄可以保護您的網域不會被簽發錯誤的憑證,而導致憑證無法使用。
如何設定 DNS CAA 紀錄要設定DNS CAA紀錄,需要至您的名稱伺服器(name server) 上進行設定,依據不同的憑證授權商,所需要設定的值也不同,可參考以下範例。 範例一: 若您是使用 Gandi SSL 憑證,CAA 紀錄的設定方式如下: @ IN CAA 0 issue "sectigo.com" @ IN CAA 0 issuewild "sectigo.com" 範例二: @ IN CAA 0 issuewild " letsencrypt.org " 範例三:若您想要在同一個網域名稱下,同時使用不同憑證授權商的CAA 紀錄,設定方式如下: @ IN CAA 0 issue "sectigo.com" @ IN CAA 0 issue "letsencrypt.org" 因此可以根據使用的憑證商不同,自行查詢 issue " " ,空格中需要設定的名稱為何。 補充說明: CAA 紀錄值的含意如果您的名稱伺服器上是使用「表格模式」來新增紀錄,您會看到以下欄位:
類型:此欄位顯示 CAA 表示此紀錄類型屬於 CAA 紀錄,用來授權 CA 簽發 SSL 憑證給此網域名稱。 TTL (暫存時間): 此紀錄的暫存時間,以秒為單位。 名稱:主網域名稱請保留空白 (@),或者您可以輸入子網域名稱,來將CAA紀錄設定在子網域。 旗標(Flag):預設值為 0,如果您設定為 1,CA 會因為不支援此數值而中斷驗證。 標籤:請選擇以下之一: 一般憑證 (issue):授權 CA 簽發一般憑證給此域名。 萬用憑證 (issuewild):授權 CA 簽發萬用憑證給此域名。 錯誤連結 (iodef):CA 會寄送錯誤訊息到此網址,格式為 Incident Object Description Exchange Forma ![]() | |
|