(可选)配置 CAA 记录 - Amazon 证书 Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

(可选)配置 CAA 记录

您可以选择配置认证机构授权 (CAA) DNS 记录,以指定允许 Amazon Certificate Manager (ACM) 为您的域或子域颁发证书。验证域之后,ACM 会检查是否存在 CAA 记录以确保它可以为您颁发证书。如果您不希望启用 CAA 检查,则可以选择不为您的域配置 CAA 记录。

CAA 记录包含以下数据字段:

flags

指定 ACM 是否支持 tag 字段的值。将此值设置为 0

标签

tag 字段可以为以下值之一。请注意,iodef 字段目前已被忽略。

issue

指示您在 value 字段中指定的 ACM CA 已被授权为您的域或子域颁发证书。

issuewild

指示您在 value 字段中指定的 ACM CA 已被授权为您的域或子域颁发通配符证书。通配符证书适用于该域或子域及其所有子域。

此字段的值取决于 tag 字段的值。您必须用引号 ("") 将此值括起来。

tagissue

value 字段包含 CA 域名称。此字段可能包含 Amazon CA 以外的 CA 的名称。但是,如果您没有指定以下四个 Amazon CA 之一的 CAA 记录,ACM 将无法向您的域或子域颁发证书:

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

value 字段也可以包含分号 (;),指示不应允许任何 CA 为您的域或子域颁发证书。如果您在某个时候决定您不再需要为某个特定的域颁发的证书,请使用此字段。

tagissuewild

value 字段与 tagissue 时的相同,只是它适用于通配符证书。

当存在不包含 ACM CA 值的 issuewild CAA 记录时,ACM 不能颁发任何通配符证书。如果没有 issuewild,但对于 ACM 有一个 issue CAA 记录,则 ACM 可以颁发通配符证书。

例 CAA 记录示例

在以下示例中,首先是您的域名,然后是记录类型 (CAA)。flags 字段始终为 0。tags 字段可以是 issueissuewild。如果字段为 issue 且您在 value 字段中键入 CA 服务器的域名称,则 CAA 记录指示您指定的服务器已被允许颁发您请求的证书。如果您在 value 字段中键入分号“;”,则 CAA 记录指示不允许任何 CA 颁发证书。CAA 记录的配置因 DNS 提供商而异。

Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"

有关如何添加或修改 DNS 记录的更多信息,请与您的 DNS 提供商核实。Route 53 支持 CAA 记录。如果 Route 53 是您的 DNS 提供商,请参阅 CAA 格式以了解有关创建记录的更多信息。