产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF

为域名创建 CAA 记录

May 11, 2023
投稿者: 
C

证书颁发机构授权 (CAA) 是一种 DNS 记录,允许域所有者指定哪个证书颁发机构 (CA) 可以为域颁发 SSL 证书。

与服务的安全连接需要 SSL/TLS 证书来确保主机的身份并建立安全通道。没有 CAA 记录可能会导致安全风险,因为任何人都可以为域生成证书签名请求 (CSR) 并获得任何 CA 签名的证书。

CAA 记录允许域名所有者声明允许哪些证书颁发机构为域名颁发证书,从而为您的 Web 存在提供一层额外的保护。如果有人向未经授权的 CA 申请证书,则 CAA 记录会通知域名所有者同样的情况。如果某个域没有 CAA 记录,则允许任何 CA 为该域颁发证书。

NetScaler 设备在以下模式下支持 DNS CAA 记录:

  • 代理:设备缓存来自后端服务器的 CAA 记录响应,并响应来自缓存的更多相同类型的查询。
  • ADNS:设备响应来自配置的 DNS 记录的 CAA 记录类型 DNS 查询。

注意:

  • 每个域名最多可以添加 20 条 CAA 记录。
  • 不支持递归解析器和转发器模式。

使用 CLI 添加 CAA 记录

在命令提示符下,键入以下命令:

add dns caaRec <domain> <issuer-string> -tag <tag-string> -flag [None|Critical] [-TTL <secs>]
<!--NeedCopy-->

示例:

> add dns caaRec newdomain string1 -tag Issue -flag None [-TTL 3600]
<!--NeedCopy-->

显示命令详情

> show dns caaRec

1)  Domain : newdomain  ECS Subnet : None      Record id: 39423 TTL : 3600 secs Record Type : ADNS

Value: string1

Tag: issue

Flag: NONE

2)  Domain : test.com  ECS Subnet : None      Record id: 2572   TTL : 5 secs    Record Type : ADNS

Value: ca1.test.com

Tag: issue

Flag: NONE
<!--NeedCopy-->

要删除 CAA 记录,请在命令提示符下键入以下命令:

rm dns caaRec <domain> <issuer-string> -tag <tag-string> | -recordId <positive_integer>@)
<!--NeedCopy-->

示例:

rm dns caaRec newdomain -recordId 39423
<!--NeedCopy-->

注意:

-recordID 群集中不支持 @。

使用 GUI 添加 CAA 记录

导航到 流量管理 > DNS > 记录 > CAA 记录 ,然后创建地址记录。

为域名创建 CAA 记录
May 11, 2023
投稿者: 
C
May 11, 2023
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.