Как настроить DNS-запись CAA для использования с диспетчером сертификатов AWS

Question

Как настроить DNS-запись CAA для использования с диспетчером сертификатов AWS

AWS Route 53 теперь позволяет создавать CAA записи, ограничивающие центры сертификации, которые могут выдавать сертификат для домена. Я хотел бы использовать issue директива об ограничении выдачи сертификатов для моего домена, как в следующем примере:

example.org. CAA 128 issue "letsencrypt.org"

Я получаю сертификаты для своего домена от диспетчера сертификатов Amazon (ACM). Как мне настроить домен, который ограничивает выдачу сертификатов этой службе? Я не хочу ошибиться, если нарушу автоматическое продление сертификата!

5

certificate-authority amazon-route53 pki amazon-acm

Источник

simpleigh 11 сен '17 в 20:57

1 ответ

Решение

Другие вопросы по тегам certificate-authority amazon-route53 pki amazon-acm

anx 11 сен '17 в 21:44 2017-09-11 21:44 · Accepted Answer · 2017-09-11 21:44

Обновление 2017-09

Официальное руководство ACM в руководстве AWS содержит раздел, касающийся CAA: http://docs.aws.amazon.com/acm/latest/userguide/setup-caa.html

Он содержит пример, идентичный приведенному ниже, утверждает, что ACM теперь уважает конфигурацию CAA, и поясняет, что не следует устанавливать флаг (flags=0):

если у вас нет записи CAA, в которой указан один из следующих четырех Amazon CA, ACM не сможет выдать сертификат вашему домену или поддомену

Помните, что до тех пор, пока Amazon не обещает безоговорочную валидацию CAA в своем заявлении о сертификации,

Проверка CAA является необязательной, если CA или Аффилированное лицо CA является Оператором DNS (как определено в RFC 7719) DNS домена.

согласно бюллетеню 187 Форума CAB (вступает в силу 2019-09-08).

Оригинальный пост

Вы можете просто использовать

example.org. CAA 0 issue "amazon.com"

Почему amazon.com?

Потому что практически любой ЦС рекомендует использовать наиболее запоминающийся домен под своим контролем, и amazon еще не сделал более конкретных сообщений.

https://tools.ietf.org/html/rfc6844

проблема <доменное имя эмитента> [; <имя> = <значение>] *:
Запись свойства вопроса уполномочивает владельца имени домена или сторону, действующую на основании явных полномочий владельца этого имени домена, выдавать сертификаты для домена, в котором опубликовано свойство.

Почему бы не использовать флаги (например, flags=128 : пометить это критично)?

Поскольку на данный момент (2017-08 гг.) Amazon не заботится о записи CAA, поэтому, настраивая ее, потенциально не следуя рекомендациям, которые они публикуют позднее, вы просто готовитесь к некоторой головной боли, чтобы выяснить, что пошло не так,

Amazon может или не может дополнительно рекомендовать использовать aws.amazon.com и / или имя учетной записи, и их отчет поставщикам браузеров выглядит так, как они.

Публичное хранилище документов Amazon Trust содержит документ под названием Amazon Trust Services Certification Practice Statement v1.X и там вы можете искать "CAA". В v1.0.5 это говорится

Amazon Root CA не проверяют записи CAA до выдачи сертификатов.