CAAレコードの設定例
2018年11月16日
証明書の誤発行を防止するために、ドメインのDNSデータを利用する仕組みが[RFC6844]で定められている「DNS CAA」です。
DNSのCAAレコードへの登録は必須ではありませんが、CAAレコードを登録しておくと、証明書の誤発行防止につながりますが、この設定より証明書が発行されない場合があります。
ここでは、CAA設定による証明書の発行制限に掛かった場合の対応方法について「yoursite.com」及び「sv1.yoursite.com」の証明書発行を例に説明致します。
Contents
DNS情報
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| A | xxx.xxx.xxx.xxx | ||
| CAA | issue ssl-example.com | ||
| sv1 | CNAME | host.example.com | |
| MX | yoursite.com | 0 |
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| A | xxx.xxx.xxx.xxx | ||
| host | A | xxx.xxx.xxx.xxx | |
| host | CAA | issue ssl-example.com |
コモンネーム「yoursite.com」の証明書を発行する場合
「yoursite.com」のCAAレコードにて「ssl-example.com」ドメインを所有している認証局が発行する証明書のみ許可されており、これ以外の認証局が発行する証明書は許可されていない為、証明書の発行が制限されています。
対応方法
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| CAA | issue sectigo.com |
コモンネーム「sv1.yoursite.com」の証明書を発行する場合
「yoursite.com」のDNS情報で「sv1.yoursite.com」のCAAレコードの設定はされておりませんが、上位ドメインの「yoursite.com」で設定されている為、前項と同じ対策を行い、「yoursite.com」のCAAレコードに「sectigo.com」を追加します。
また、「sv1.yoursite.com」のDNS情報はCNAMEで別のドメイン「example.com」へホストされおり、「example.com」ドメインのDNS情報にてCAAレコードの設定がされている為、以下の2つの対策が必要となります。
「yoursite.com」のDNS情報にCAAレコードを追加
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| sv1 | CAA | issue sectigo.com |
「example.com」のDNS情報にCAAレコードを追加
example.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| host | CAA | issue sectigo.com |
よく読まれている質問
- ドメイン使用権確認方法
- ACME対応の組織認証証明書はいつから利用可能になりますか?
- 現在利用中のサーバでFujiSSLを利用できるか知りたい
- ACME(自動更新)に対応する環境を知りたい
- ACMEを利用するメリットは何ですか?
- SiteLockの導入にあたりサーバやパソコンにソフトウェアのインストールは必要ですか?...
- 承認メールの選択でWhois公開連絡先のメールアドレスが表示されない
- 審査状況の確認
- ファイル認証とメール認証どちらを選択すればいいですか
- 大塚商会のアルファメールでFujiSSL証明書を使えますか?
- FujisslのACMEはどの認証方式に対応していますか?
- FujiSSLの認証方式を教えてください
当サイトではFujiSSLのSSL証明書を使用し、常時SSL暗号化通信を行っています。 FujiSSL サイトシールをクリックして、検証結果をご確認いただけます。
電話をかける
お問い合わせ