**前言**
认证授权
(CAA) 记录是一种 DNS 记录,它允许域名所有者指定哪些证书颁发机构 (CA) 有权为其域名颁发 SSL/TLS
证书。杏鑫平台开户杏鑫平台注册官网百度网盘以为:本文将介绍谷歌云中 CAA 记录的用法和管理方法。
**CAA 记录的用途**
CAA 记录通过向 CA 传递以下信息,帮助防止域名欺骗和未经授权的证书颁发:
* 允许哪些 CA 为域名颁发证书
* 域名使用
哪些验证方法颁发的证书有效
* 域名是否使用通配符证书
**管理谷歌云中的 CAA 记录**
谷歌云提供了图形用户界面 (GUI) 和命令行界面 (CLI) 来管理 CAA 记录:
**GUI 方法:**
1. 登录谷歌云控制台。
2. 导航到 Cloud DNS 部分。
3. 选择您要修改的托管区域。
4. 在“记录集”选项卡中,单击“添加记录集”。
5. 在“类型”字段中,选择“CAA”。
6. 填写以下字段:
* **
名称:** 要保护的域名。
* **TTL:** 缓存时间(以秒为单位)。
* **Flags:** 允许的验证方法(例如 iodef)。
* **标签:** 可选的描述性标签。
7. 将您的首选 CA 分别添加到“值”字段中。
8. 单击“保存”。
**CLI 方法:**
1. 通过 `gcloud` 命令行工具登录谷歌云。
2. 运行以下命令:
```
gcloud dns record-sets create <域名前缀> <记录名称> CAA
```
例如:
```
gcloud dns record-sets create example.com example.com CAA 86400 issue "letsencrypt.org"
```
**验证方法**
CAA 记录支持以下验证方法:
* `issue`:仅允许列出的 CA 颁发证书。
* `iodef`:允许列出的 CA 使用 IODEF 协议验证域名的所有权。
* `pkix`:允许列出的 CA 使用 PKIX 验证方法验证域名的所有权。
**示例 CAA 记录**
以下是一个允许 Let's Encrypt 和 DigiCert 颁发证书的 CAA 记录示例:
```
example.com. 86400 IN CAA 0 issue "letsencrypt.org"
example.com. 86400 IN CAA 0 issue "digicert.com"
```
**注意事项**
* 保持 CAA 记录是最新的非常重要,以防止未经授权的证书颁发。
* 使用通配符证书时,应使用通配符 CAA 记录(例如 `*.example.com`)。
* CAA 记录具有递归性质,这意味着父域名的 CAA 记录也会应用于子域名。
返回列表