ナレッジベース

CAAレコードの設定例

2018年11月16日

証明書の誤発行を防止するために、ドメインのDNSデータを利用する仕組みが[RFC6844]で定められている「DNS CAA」です。
DNSのCAAレコードへの登録は必須ではありませんが、CAAレコードを登録しておくと、証明書の誤発行防止につながりますが、この設定より証明書が発行されない場合があります。

ここでは、CAA設定による証明書の発行制限に掛かった場合の対応方法について「yoursite.com」及び「sv1.yoursite.com」の証明書発行を例に説明致します。

DNS情報

yoursite.com のDNSレコード情報
ホスト名 種別 内容 優先度
A xxx.xxx.xxx.xxx
CAA issue ssl-example.com
sv1 CNAME host.example.com
MX yoursite.com 0
example.com のDNSレコード情報
ホスト名 種別 内容 優先度
A xxx.xxx.xxx.xxx
host A xxx.xxx.xxx.xxx
host CAA issue ssl-example.com

 

 

コモンネーム「yoursite.com」の証明書を発行する場合

「yoursite.com」のCAAレコードにて「ssl-example.com」ドメインを所有している認証局が発行する証明書のみ許可されており、これ以外の認証局が発行する証明書は許可されていない為、証明書の発行が制限されています。

対応方法

yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。

yoursite.com のDNSレコード情報
ホスト名 種別 内容 優先度
CAA issue sectigo.com

 

コモンネーム「sv1.yoursite.com」の証明書を発行する場合

「yoursite.com」のDNS情報で「sv1.yoursite.com」のCAAレコードの設定はされておりませんが、上位ドメインの「yoursite.com」で設定されている為、前項と同じ対策を行い、「yoursite.com」のCAAレコードに「sectigo.com」を追加します。

また、「sv1.yoursite.com」のDNS情報はCNAMEで別のドメイン「example.com」へホストされおり、「example.com」ドメインのDNS情報にてCAAレコードの設定がされている為、以下の2つの対策が必要となります。

「yoursite.com」のDNS情報にCAAレコードを追加

yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。

yoursite.com のDNSレコード情報
ホスト名 種別 内容 優先度
sv1 CAA issue sectigo.com

 

「example.com」のDNS情報にCAAレコードを追加

example.comのDNSレコード情報に以下のCAAレコードを追加します。

example.com のDNSレコード情報
ホスト名 種別 内容 優先度
host CAA issue sectigo.com

 

よく読まれている質問