CAAレコードの設定例
2018年11月16日
証明書の誤発行を防止するために、ドメインのDNSデータを利用する仕組みが[RFC6844]で定められている「DNS CAA」です。
DNSのCAAレコードへの登録は必須ではありませんが、CAAレコードを登録しておくと、証明書の誤発行防止につながりますが、この設定より証明書が発行されない場合があります。
ここでは、CAA設定による証明書の発行制限に掛かった場合の対応方法について「yoursite.com」及び「sv1.yoursite.com」の証明書発行を例に説明致します。
Contents
DNS情報
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| A | xxx.xxx.xxx.xxx | ||
| CAA | issue ssl-example.com | ||
| sv1 | CNAME | host.example.com | |
| MX | yoursite.com | 0 |
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| A | xxx.xxx.xxx.xxx | ||
| host | A | xxx.xxx.xxx.xxx | |
| host | CAA | issue ssl-example.com |
コモンネーム「yoursite.com」の証明書を発行する場合
「yoursite.com」のCAAレコードにて「ssl-example.com」ドメインを所有している認証局が発行する証明書のみ許可されており、これ以外の認証局が発行する証明書は許可されていない為、証明書の発行が制限されています。
対応方法
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| CAA | issue secomtrust.net |
コモンネーム「sv1.yoursite.com」の証明書を発行する場合
「yoursite.com」のDNS情報で「sv1.yoursite.com」のCAAレコードの設定はされておりませんが、上位ドメインの「yoursite.com」で設定されている為、前項と同じ対策を行い、「yoursite.com」のCAAレコードに「secomtrust.net」を追加します。
また、「sv1.yoursite.com」のDNS情報はCNAMEで別のドメイン「example.com」へホストされおり、「example.com」ドメインのDNS情報にてCAAレコードの設定がされている為、以下の2つの対策が必要となります。
「yoursite.com」のDNS情報にCAAレコードを追加
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| sv1 | CAA | issue secomtrust.net |
「example.com」のDNS情報にCAAレコードを追加
example.comのDNSレコード情報に以下のCAAレコードを追加します。
| ホスト名 | 種別 | 内容 | 優先度 |
|---|---|---|---|
| host | CAA | issue secomtrust.net |
よく読まれている質問
当サイトではFujiSSLのSSL証明書を使用し、常時SSL暗号化通信を行っています。 FujiSSL サイトシールをクリックして、検証結果をご確認いただけます。
電話をかける
お問い合わせ