CAAレコードの設定例
2018年11月16日
証明書の誤発行を防止するために、ドメインのDNSデータを利用する仕組みが[RFC6844]で定められている「DNS CAA」です。
DNSのCAAレコードへの登録は必須ではありませんが、CAAレコードを登録しておくと、証明書の誤発行防止につながりますが、この設定より証明書が発行されない場合があります。
ここでは、CAA設定による証明書の発行制限に掛かった場合の対応方法について「yoursite.com」及び「sv1.yoursite.com」の証明書発行を例に説明致します。
Contents
DNS情報
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| A | xxx.xxx.xxx.xxx | ||
| CAA | issue ssl-example.com | ||
| sv1 | CNAME | host.example.com | |
| MX | yoursite.com | 0 |
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| A | xxx.xxx.xxx.xxx | ||
| host | A | xxx.xxx.xxx.xxx | |
| host | CAA | issue ssl-example.com |
コモンネーム「yoursite.com」の証明書を発行する場合
「yoursite.com」のCAAレコードにて「ssl-example.com」ドメインを所有している認証局が発行する証明書のみ許可されており、これ以外の認証局が発行する証明書は許可されていない為、証明書の発行が制限されています。
対応方法
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| CAA | issue sectigo.com |
コモンネーム「sv1.yoursite.com」の証明書を発行する場合
「yoursite.com」のDNS情報で「sv1.yoursite.com」のCAAレコードの設定はされておりませんが、上位ドメインの「yoursite.com」で設定されている為、前項と同じ対策を行い、「yoursite.com」のCAAレコードに「sectigo.com」を追加します。
また、「sv1.yoursite.com」のDNS情報はCNAMEで別のドメイン「example.com」へホストされおり、「example.com」ドメインのDNS情報にてCAAレコードの設定がされている為、以下の2つの対策が必要となります。
「yoursite.com」のDNS情報にCAAレコードを追加
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| sv1 | CAA | issue sectigo.com |
「example.com」のDNS情報にCAAレコードを追加
example.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| host | CAA | issue sectigo.com |
よく読まれている質問
- SSLサーバ証明書からクライアント認証EKU削除に関する重要なお知らせ
- 2026年3月15日からSSL/TLS証明書の有効期間が200日に短縮されます
- FujiSSLではどのACMEクライアントが使えますか?
- コードサイニング証明書を無料で入手できますか?
- ファイル認証のクローラーのIPアドレスを教えてください
- FujisslのACMEはどの認証方式に対応していますか?
- 量子コンピュータ時代に備える!FujiSSLなら耐量子暗号への移行も安心
- ドメイン使用権確認方法
- www付きのコモンネームで発行した証明書がwww無しのドメインで利用できません。...
- クライアント証明書発行までの流れ
- クロスサインが必要なのはどんな時ですか?また、利用者は何をすればよいのでしょうか?...
- ドメイン所有者確認方法をメール、DNS、ファイルのいずれかに変更したい
- FujiSSLは世界的CA「Sectigo」の中間認証局です
- ACME(自動更新)に対応する環境を知りたい
当サイトではFujiSSLのSSL証明書を使用し、常時SSL暗号化通信を行っています。 FujiSSL サイトシールをクリックして、検証結果をご確認いただけます。
電話をかける
お問い合わせ