CAAレコードの設定例
2018年11月16日
証明書の誤発行を防止するために、ドメインのDNSデータを利用する仕組みが[RFC6844]で定められている「DNS CAA」です。
DNSのCAAレコードへの登録は必須ではありませんが、CAAレコードを登録しておくと、証明書の誤発行防止につながりますが、この設定より証明書が発行されない場合があります。
ここでは、CAA設定による証明書の発行制限に掛かった場合の対応方法について「yoursite.com」及び「sv1.yoursite.com」の証明書発行を例に説明致します。
Contents
DNS情報
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| A | xxx.xxx.xxx.xxx | ||
| CAA | issue ssl-example.com | ||
| sv1 | CNAME | host.example.com | |
| MX | yoursite.com | 0 |
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| A | xxx.xxx.xxx.xxx | ||
| host | A | xxx.xxx.xxx.xxx | |
| host | CAA | issue ssl-example.com |
コモンネーム「yoursite.com」の証明書を発行する場合
「yoursite.com」のCAAレコードにて「ssl-example.com」ドメインを所有している認証局が発行する証明書のみ許可されており、これ以外の認証局が発行する証明書は許可されていない為、証明書の発行が制限されています。
対応方法
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| CAA | issue sectigo.com |
コモンネーム「sv1.yoursite.com」の証明書を発行する場合
「yoursite.com」のDNS情報で「sv1.yoursite.com」のCAAレコードの設定はされておりませんが、上位ドメインの「yoursite.com」で設定されている為、前項と同じ対策を行い、「yoursite.com」のCAAレコードに「sectigo.com」を追加します。
また、「sv1.yoursite.com」のDNS情報はCNAMEで別のドメイン「example.com」へホストされおり、「example.com」ドメインのDNS情報にてCAAレコードの設定がされている為、以下の2つの対策が必要となります。
「yoursite.com」のDNS情報にCAAレコードを追加
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| sv1 | CAA | issue sectigo.com |
「example.com」のDNS情報にCAAレコードを追加
example.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| host | CAA | issue sectigo.com |
よく読まれている質問
- OV証明書 自動化手順(ACME対応)
- 2026年3月12日からSSL/TLS証明書の有効期間が200日に短縮されます
- acme.sh インストール&設定ガイド(FujiSSL ACME)
- 証明書の自動更新をしたい
- ワイルドカード証明書はACMEで発行・自動更新できますか?(対応する認証方式は?)...
- SSLサーバ証明書からクライアント認証EKU削除に関する重要なお知らせ
- ロードバランサ配下の複数Webサーバー構成では、ACMEはどのように運用すればよいですか?...
- 1台で取得した証明書を他サーバーへ配布する場合、どのような方法がありますか?...
- 複数年契約(サブスクリプションサービス)の証明書はありませんか?
- Certbot インストール&設定ガイド(FujiSSL ACME)
- DV証明書 自動化手順(ACME対応)
- 審査状況の確認
- 複数年プランについて
- www付きのコモンネームで発行した証明書がwww無しのドメインで利用できません。...
当サイトではFujiSSLのSSL証明書を使用し、常時SSL暗号化通信を行っています。 FujiSSL サイトシールをクリックして、検証結果をご確認いただけます。
電話をかける
お問い合わせ