CAAレコードの設定例
2018年11月16日
証明書の誤発行を防止するために、ドメインのDNSデータを利用する仕組みが[RFC6844]で定められている「DNS CAA」です。
DNSのCAAレコードへの登録は必須ではありませんが、CAAレコードを登録しておくと、証明書の誤発行防止につながりますが、この設定より証明書が発行されない場合があります。
ここでは、CAA設定による証明書の発行制限に掛かった場合の対応方法について「yoursite.com」及び「sv1.yoursite.com」の証明書発行を例に説明致します。
Contents
DNS情報
ホスト名 | 種別 | 内容 | 優先度 |
---|---|---|---|
A | xxx.xxx.xxx.xxx | ||
CAA | issue ssl-example.com | ||
sv1 | CNAME | host.example.com | |
MX | yoursite.com | 0 |
ホスト名 | 種別 | 内容 | 優先度 |
---|---|---|---|
A | xxx.xxx.xxx.xxx | ||
host | A | xxx.xxx.xxx.xxx | |
host | CAA | issue ssl-example.com |
コモンネーム「yoursite.com」の証明書を発行する場合
「yoursite.com」のCAAレコードにて「ssl-example.com」ドメインを所有している認証局が発行する証明書のみ許可されており、これ以外の認証局が発行する証明書は許可されていない為、証明書の発行が制限されています。
対応方法
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
ホスト名 | 種別 | 内容 | 優先度 |
---|---|---|---|
CAA | issue secomtrust.net |
コモンネーム「sv1.yoursite.com」の証明書を発行する場合
「yoursite.com」のDNS情報で「sv1.yoursite.com」のCAAレコードの設定はされておりませんが、上位ドメインの「yoursite.com」で設定されている為、前項と同じ対策を行い、「yoursite.com」のCAAレコードに「secomtrust.net」を追加します。
また、「sv1.yoursite.com」のDNS情報はCNAMEで別のドメイン「example.com」へホストされおり、「example.com」ドメインのDNS情報にてCAAレコードの設定がされている為、以下の2つの対策が必要となります。
「yoursite.com」のDNS情報にCAAレコードを追加
yoursite.comのDNSレコード情報に以下のCAAレコードを追加します。
ホスト名 | 種別 | 内容 | 優先度 |
---|---|---|---|
sv1 | CAA | issue secomtrust.net |
「example.com」のDNS情報にCAAレコードを追加
example.comのDNSレコード情報に以下のCAAレコードを追加します。
ホスト名 | 種別 | 内容 | 優先度 |
---|---|---|---|
host | CAA | issue secomtrust.net |
よく読まれている質問
- クライアント証明書発行までの流れ
- 複数年プランについて
- コードサイニング証明書を無料で入手できますか?
- Apache のクライアント証明書認証の設定手順
- クライアント証明書の再発行手順
- FujiSSLの適格請求書発行事業者登録番号(インボイス登録番号)が知りたい
- SiteLockの導入にあたりサーバやパソコンにソフトウェアのインストールは必要ですか?...
- SiteLockはどんなWEBプラットフォームでも動作しますか?
- 複数年プランのドメイン使用権確認方法
- クレジットカード決済でエラーが出る
- FujiSSL証明書はwwwありなし(2way・SANs)に対応していますか?
- Nginx のクライアント証明書認証の設定手順