阿里云域名caa记录添加详解

本篇写于tiansir.com  原创文章 2017-12-9

CAA记录介绍

CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此,再也不能是任意CA都可以为任意域名颁发证书了。

关于CAA记录,其实早在4年前便在RFC 6844中有定义,但由于种种原因配置该DNS资源记录的网站寥寥无几。如今,SSL证书在颁发之前对域名强制CAA检查,就对想要https访问的网站域名提出了解析配置的要求。

CAA记录详解

CAA记录可以控制单域名SSL证书的发行,也可以控制通配符证书。当域名存在CAA记录时,则只允许在记录中列出的CA颁发针对该域名(或子域名)的证书。

在域名解析配置中,咱们可以为整个域(如example.com)或者特定的子域(如subzone.example.com)设置CAA策略。当为整域设置CAA资源记录时,该CAA策略将同时应用于该域名下的任一子域,除非被已设置的子域策略覆盖。

CAA记录格式

根据规范(RFC 6844),CAA记录格式由以下元素组成:

CAA <flags> <tag> <value>

名词解释:

CAA:DNS资源记录类型

<flags>:认证机构限制标志

<tag>:证书属性标签

<value>:证书颁发机构、策略违规报告邮件地址等

<flags>定义为0~255无符号整型,取值:

Issuer Critical Flag:0

1~7为保留标记

<tag>定义为US-ASCII和0~9,取值:

CA授权任何类型的域名证书(Authorization Entry by Domain) : issue

CA授权通配符域名证书(Authorization Entry by Wildcard Domain) : issuewild

指定CA可报告策略违规(Report incident by IODEF report) : iodef

auth、path和policy为保留标签

<value>定义为八位字节序列的二进制编码字符串,一般填写格式为:

[domain] [“;” * 参数]

CAA记录示例

当需要限制域名tiansir.com及其子域名可由机构aliyun颁发不限类型的证书,同时可由symantec颁发通配符证书,其他一律禁止,并且当违反配置规则时,发送通知邮件到admin@tiansir.com。

配置如下:

 0 issue “aliyun.com”

0 issuewild “symantec.com”

0 iodef “mailto:admin@tiansir.com”

如果子域名有单独列出证书颁发要求,例如:

 0 issue “aliyun.com”   在主机记录添加@

0 issue “symantec.com”  在主机记录添加子域名down

那么,因子域策略优先,所以只有symantec可以为域名down.example.com.颁发证书。

tiansir网站是如何使用的呢?

0 issue “symantec.com”        注意主机记录是你的子域名或者通配符*或者@

0 iodef “mailto:admin@tiansir.com”

我如何验证使用CAA成功呢?

[root@iZ5797ngmexeexZ ~]# dig
-bash: dig: command not found
发现没有安装dig 那么我们先给服务器安装一下吧  我的使用环境是centos
[root@iZ5797ngmexeexZ ~]# yum install dig

安装成功后

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

[root@iZ5797ngmexeexZ ~]# dig www.tiansir.com caa

 

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.1 <<>> www.tiansir.com caa

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63959

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

 

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;www.tiansir.com. IN CAA

 

;; AUTHORITY SECTION:

tiansir.com. 600 IN SOA vip1.alidns.com. hostmaster.hichina.com. 2017020313 3600 1200 3600 360

 

;; Query time: 6 msec

;; SERVER: 100.100.2.136#53(100.100.2.136)

;; WHEN: Sat Dec 09 11:06:34 CST 2017

;; MSG SIZE rcvd: 111

 

或者使用

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

[root@iZ5797ngmexeexZ ~]# dig www.tiansir.com type257

 

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.1 <<>> www.tiansir.com type257

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48439

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

 

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;www.tiansir.com. IN CAA

 

;; AUTHORITY SECTION:

tiansir.com. 600 IN SOA vip1.alidns.com. hostmaster.hichina.com. 2017020313 3600 1200 3600 360

 

;; Query time: 1 msec

;; SERVER: 100.100.2.136#53(100.100.2.136)

;; WHEN: Sat Dec 09 11:10:58 CST 2017

;; MSG SIZE rcvd: 111

 

当然你还可以用

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

[root@iZ5797ngmexeexZ ~]# dig www.tiansir.com

 

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.1 <<>> www.tiansir.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23921

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 25

 

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;www.tiansir.com. IN A

 

;; ANSWER SECTION:

www.tiansir.com. 600 IN A 115.28.163.174

 

;; AUTHORITY SECTION:

tiansir.com. 172800 IN NS vip1.alidns.com.

tiansir.com. 172800 IN NS vip2.alidns.com.

 

;; ADDITIONAL SECTION:

vip1.alidns.com. 344 IN A 116.211.173.151

vip1.alidns.com. 344 IN A 116.211.173.153

vip1.alidns.com. 344 IN A 121.29.51.151

vip1.alidns.com. 344 IN A 121.29.51.153

vip1.alidns.com. 344 IN A 140.205.29.113

vip1.alidns.com. 344 IN A 140.205.228.51

vip1.alidns.com. 344 IN A 140.205.228.53

vip1.alidns.com. 344 IN A 14.1.112.11

vip1.alidns.com. 344 IN A 14.1.112.13

vip1.alidns.com. 344 IN A 47.88.44.151

vip1.alidns.com. 344 IN A 106.11.30.113

vip1.alidns.com. 344 IN A 106.11.41.151

vip2.alidns.com. 127 IN A 116.211.173.152

vip2.alidns.com. 127 IN A 116.211.173.154

vip2.alidns.com. 127 IN A 121.29.51.152

vip2.alidns.com. 127 IN A 121.29.51.154

vip2.alidns.com. 127 IN A 140.205.29.114

vip2.alidns.com. 127 IN A 140.205.228.52

vip2.alidns.com. 127 IN A 140.205.228.54

vip2.alidns.com. 127 IN A 14.1.112.12

vip2.alidns.com. 127 IN A 14.1.112.14

vip2.alidns.com. 127 IN A 47.88.44.152

vip2.alidns.com. 127 IN A 106.11.30.114

vip2.alidns.com. 127 IN A 106.11.41.152

 

;; Query time: 6 msec

;; SERVER: 100.100.2.136#53(100.100.2.136)

;; WHEN: Sat Dec 09 11:09:06 CST 2017

;; MSG SIZE rcvd: 489
时间: 2024-09-30 03:53:54

阿里云域名caa记录添加详解的相关文章

CentOS7 阿里云的yum源使用详解_docker

CentOS 7 使用阿里云的yum源 1. 备份原来的yum源 sudo cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak  2.设置aliyun的yum源 sudo wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo  3.添加EPEL源 EPEL(http://fedor

阿里云主机Linux服务器配置步骤详解

一提到云主机,大家肯定熟知国内最知名品牌--阿里云了,后来居上的它受到不少的站长所追捧,它的稳定与服务让它的性价比直线上升,现在阿里云的最低端配置云主机年费只需要550元了,在同类产品中可谓最有性价了.如果想做个小站,又想速度上去,阿里云也是一个不错的选择.用过阿里云的站长都知道,阿里云主机是需要自己动手配置的,一些站长就有夸大其词说"没有一定的技术,最好不要用阿里云".其实,配置阿里云主机也不是很难,只要按照本文的方法一步一步去做就可以了. 第一步:远程连接阿里云主机. 下载xshe

Github Pages+Hexo+阿里云域名绑定

1.Github Pages Github Pages可以免费托管,所以把博客托管到github上. 首先,创建一个github仓库,仓库的命名格式为:yourusername.github.io,然后根据提示进行下一步. 2.Hexo搭建博客 本博客中使用了Anisina的主题,所以会详细介绍下按照Anisina主题搭建的步骤. 1.准备工作 1.首先要安装下node.js(官网下载),如果已经安装可以跳过. 2.安装git(官网下载) 3.安装Hexo: $ npm install -g h

专访阿里云域名与网站业务总经理宋瑛桥:域名未来将更加个性化、生态化和规范化

杭州·云栖大会将于2016年10月13-16日在云栖小镇举办,在这场标签为互联网.创新.创业的云计算盛宴上,众多行业精英都将在这几天里分享超过450个演讲主题. 为了帮助大家进一步了解这场全球前言技术共振盛会的内容,采访了各个论坛的大咖,以飨读者. 以下为正文: 阿里云域名与网站业务总经理 宋瑛桥,阿里云域名与网站业务总经理,曾是中国最大的域名及虚拟主机服务提供商万网的初创期核心成员,历任网络体系中心总经理.客服及质控总监.产品总监.副总裁等重要职务,在互联网基础服务行业深耕近二十年,其主导和参

阿里iDST ICCV 2017录用论文详解:基于层次化多模态LSTM的视觉语义联合嵌入

本文讲的是阿里iDST ICCV 2017录用论文详解:基于层次化多模态LSTM的视觉语义联合嵌入, ICCV,被誉为计算机视觉领域三大顶级会议之一的.作为计算机视觉领域最高级别的会议之一,其论文集代表了计算机视觉领域最新的发展方向和水平.阿里巴巴在今年的 ICCV 2017上有多篇论文入选. 本文是阿里iDST与西安电子科大.西安交大等合作的 ICCV 2017 论文解读<基于层次化多模态LSTM的视觉语义联合嵌入>(Hierarchical Multimodal LSTM for Dens

用户体验再掀高潮,阿里云域名领跑用户体验

       以前,域名是一个网站的门牌号,现在域名就像是招牌,对网站后期发展.树立品牌起着至关重要的作用.一个命名恰当.简捷易记的域名,是企业网站迈向成功的第一步,这也使得越来越多投资客加入到域名投资队伍. 随着域名注册,域名交易等功能的使用频率提升,体验问题相继暴发. 而小细节更承载用户体验! 在注册域名使用域名时,兴许也会遇到类似如下众多情景,以下内容也只是众多域名体验优化中的一部分. 1.溢价域名在域名check以及管理控制台给出标识,方便用户查看 2.不可备案域名在购物车中给出明显提示

宏碁手机发布取消:阿里云自主研发迷案待解

9月17日消息,关于阿里云.宏碁突然取消手机发布会的迷案,随着谷歌和阿里巴巴的表态被逐步揭开.而现在事件的发展方向,正在朝着谷歌和阿里巴巴争辩阿里云操作系统是否为自主研发的方向发展. 谷歌揭开发布会取消内幕 9月13日,阿里巴巴原定于当日下午与宏碁召开发布会发布新款搭载阿里云操作系统的宏碁手机,但之后意外取消.阿里云在当日下午发表声明称,取消发布会是因为宏碁方面受到了来自谷歌的压力. 阿里云的这一说法让外界对谷歌的做法感到不解,甚至有人认为这事阿里巴巴为提升自己身段的一次炒作."一个是Andro

阿里云邮箱MX记录是什么

  MX记录是邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器.例如,当Internet上的某用户要发一封信给 user@mydomain.com 时,该用户的邮件系统通过DNS查找mydomain.com这个域名的MX记录.如果MX记录存在,用户计算机就将邮件发送到MX记录所指定的邮件服务器上.

阿里云邮箱MX记录验证不通过怎么办

  MX记录验证不通过的常见问题及解决方法: (1)以前存在纯域名的CNAME记录,则可能会导致MX记录无法生效. (2)有些域名提供商的域名MX设置默认会加上域名本身为后缀,此时需要在后面加上一个"." . (3)某些域名提供商要求只能使用IP来设置MX记录,当前我们还不能完全支持这种情况.我们正着手解决这个问题,目前建议您联系域名提供商协助进行设置. (4)某些域名提供商要求只能使用别名来设置MX记录,当前我们还不能完全支持这种情况.我们正着手解决这个问题,目前建议您联系域名提供商