ADC

ドメイン名の CAA レコードを作成する

認証局認証 (CAA) は、ドメイン所有者がドメインの SSL 証明書を発行できる認証局 (CA) を指定できる DNS レコードの一種です。

サービスへの安全な接続には、ホストの ID を保証し、セキュリティで保護されたチャネルを確立するために SSL/TLS 証明書が必要です。CAA レコードがないと、誰でもドメインの証明書署名要求 (CSR) を生成し、任意の CA によって署名された証明書を取得できるため、セキュリティリスクが発生する可能性があります。

CAAレコードは、ドメイン所有者がドメインの証明書を発行できる認証局を宣言できるようにすることで、Webプレゼンスをさらに保護します。認証されていないCAからの証明書のリクエストがある場合、CAAレコードはドメイン所有者に同じことを通知します。ドメインの CAA レコードが存在しない場合、どの CA もそのドメインの証明書を発行できます。

NetScaler ADCアプライアンスは、次のモードでDNS CAAレコードをサポートします。

  • プロキシ:アプライアンスは、バックエンドサーバーからのCAAレコード応答をキャッシュし、キャッシュからの同じタイプのさらなるクエリに応答します。
  • ADNS:アプライアンスは、構成されたDNSレコードからのCAAレコードタイプDNSクエリに応答します。

注:

  • ドメイン名ごとに最大 20 の CAA レコードを追加できます。
  • 再帰的なリゾルバーモードとフォワーダーモードはサポートされていません。

CLIを使用してCAAレコードを追加する

コマンドプロンプトで、次のコマンドを入力します。

add dns caaRec <domain> <issuer-string> -tag <tag-string> -flag [None|Critical] [-TTL <secs>]
<!--NeedCopy-->

例:

> add dns caaRec newdomain string1 -tag Issue -flag None [-TTL 3600]
<!--NeedCopy-->

コマンドの詳細を表示

> show dns caaRec

1)  Domain : newdomain  ECS Subnet : None      Record id: 39423 TTL : 3600 secs Record Type : ADNS

Value: string1

Tag: issue

Flag: NONE

2)  Domain : test.com  ECS Subnet : None      Record id: 2572   TTL : 5 secs    Record Type : ADNS

Value: ca1.test.com

Tag: issue

Flag: NONE
<!--NeedCopy-->

CAA レコードを削除するには、コマンドプロンプトで次のコマンドを入力します。

rm dns caaRec <domain> <issuer-string> -tag <tag-string> | -recordId <positive_integer>@)
<!--NeedCopy-->

例:

rm dns caaRec newdomain -recordId 39423
<!--NeedCopy-->

注:

-recordId @はクラスタではサポートされていません。

GUI を使用して CAA レコードを追加する

[ トラフィック管理] > [DNS] > [レコード] > [CAA レコード ] に移動し、アドレスレコードを作成します。

ドメイン名の CAA レコードを作成する