sim*_*igh 5 pki certificate-authority amazon-route53 amazon-acm
AWS Route 53现在允许创建CAA记录来限制可能为域颁发证书的证书颁发机构。我想使用issue指令来限制我的域的证书颁发,如下例所示:
example.org. CAA 128 issue "letsencrypt.org"
我从 Amazon 的证书管理器 (ACM) 获取我的域的证书。我应该如何配置限制向此服务颁发证书的域?我不想犯这个错误,以防万一我破坏了证书的自动续订!
更新2017-09
\nAWS 指南中的官方 ACM 指南包含有关 CAA 的部分:\n http://docs.aws.amazon.com/acm/latest/userguide/setup-caa.html
\n它确实包含与下面的示例相同的示例,声称 ACM 现在确实尊重 CAA 配置,并澄清不应设置任何标志 ( flags=0):
\n\n如果您没有指定以下\n四个 Amazon CA 之一的 CAA 记录,ACM 无法向您的域或\n子域颁发证书
\n
请记住,在亚马逊在其认证实践声明中承诺无条件 CAA 验证之前,
\n\n\n如果 CA 或 CA 的附属机构是域\xe2\x80\x99s DNS 的\nDNS 运营商(如 RFC 7719 中定义),则 CAA 检查是可选的。
\n
根据CAB 论坛第 187 号投票(2019 年 9 月 8 日生效)。
\n原帖
\n你可以只使用
\nexample.org. CAA 0 issue "amazon.com"\n为什么选择亚马逊?
\n因为几乎所有 CA 都建议使用他们控制下最难忘的域名,而亚马逊尚未做出任何更具体的沟通。
\nhttps://www.rfc-editor.org/rfc/rfc6844#section-3
\n\n\n问题 <发行者域名> [; <名称>=<值> ]* :
\n
\n颁发属性\n条目授权域名持有者或在该域名持有者明确授权下行事的一方\n为该属性所在的域\n颁发证书已发布。
为什么不使用标志(例如flags=128:将其标记为关键)?
因为,截至目前(2017-08),亚马逊并不关心 CAA 记录,因此在设置它时,可能不遵守他们稍后发布的指南,您只是在准备好在找出问题所在时遇到一些麻烦。
\n亚马逊可能会也可能不会另外建议使用 aws.amazon.com 和/或账户名,并且他们向浏览器供应商提供的报告看起来就像是这样做的。
\nAmazon Trust 公共文档存储库包含一个名为“CAA”的文档Amazon Trust Services Certification Practice Statement v1.X,您可以在其中搜索“CAA”。在 v1.0.5 中,这说明
\n\nAmazon 根 CA 在颁发证书之前不会检查 CAA 记录。
\n
| 归档时间: |
|
| 查看次数: |
3947 次 |
| 最近记录: |