现在, AWS Route 53 允许创buildCAAlogging,以限制可能为域颁发证书的证书颁发机构。 我想使用issue指令来限制我的域的证书问题,如下例所示:
example.org. CAA 128 issue "letsencrypt.org"
我从Amazon的证书pipe理器(ACM)获取我的域的证书。 我应该如何configuration一个域来限制证书颁发给这个服务? 我不想让这个错误的情况下,我打破了证书的自动更新!
更新2017-09
AWS指南中的官方ACM指南包含有关CAA的部分: http : //docs.aws.amazon.com/acm/latest/userguide/setup-caa.html
它确实包含了一个与下面相同的例子,声称ACM现在尊重CAAconfiguration,并阐明了不应该设置flags=0 ( flags=0 ):
如果您没有指定以下四个Amazon CA之一的CAAlogging,则ACM不能向您的域或子域颁发证书
请记住,除非亚马逊承诺在其authentication实践声明中无条件的CAAauthentication,
如果CA或CA的附属机构是域名DNS的DNS运营商(如RFC 7719中定义的),则CAA检查是可选的。
根据CAB论坛的投票187(2019-09-08生效) 。
原始post
你可以使用
example.org. CAA 0 issue "amazon.com"
为什么amazon.com?
因为几乎所有的CA都推荐使用他们控制下最令人难忘的域名,而亚马逊还没有做出更具体的沟通。
https://tools.ietf.org/html/rfc6844#section-3
发行<发行人域名> [; <name> = <value>] *:
问题属性条目授权域名持有者或在该域名持有者明确授权下行事的一方为该域名发布证书。
为什么不使用标志(例如, flags=128 :标志为关键)?
因为,截至目前(2017-08),亚马逊并不关心CAAlogging,所以build立起来,可能不遵守他们以后发布的指导方针,你只是准备自己头痛一下,搞清楚出了什么问题。
亚马逊可能会或可能不会另外推荐使用aws.amazon.com和/或帐户名称, 并且他们向浏览器供应商的报告看起来就像他们一样 。
Amazon Trust公共文档资源库包含一个名为Amazon Trust Services Certification Practice Statement v1.X ,您可以search“CAA”。 在v1.0.5中说明
Amazon根CA在颁发证书之前不检查CAAlogging。