Defaults.Exposed › Diegimas › CAA

Kaip nustatyti CAA įrašą „AWS Route 53” sistemoje

Pridėkite CAA įrašą „AWS Route 53” sistemoje ir nurodykite, kurios sertifikavimo institucijos turi teisę išduoti SSL sertifikatus jūsų domenui.

Kodėl tai svarbu jūsų verslui

CAA įrašas nurodo, kurioms sertifikavimo institucijoms (įmonėms, išduodančioms SSL/TLS sertifikatus už naršyklės spynos simbolio) leidžiama išduoti sertifikatą jūsų domenui. Bet kuri institucija, laikanti taisyklių, prieš išduodama sertifikatą privalo patikrinti šį įrašą ir atsisakyti, jei ji nėra sąraše.

Paprastai tariant: be CAA įrašo bet kuri iš šimtų pasaulio sertifikavimo institucijų galėtų būti apgauta arba padaryti klaidą ir išduoti galiojantį jūsų domeno sertifikatą užpuolikui — kuris galėtų įtikinamai apsimesti jūsų svetaine. CAA įrašas uždaro šią spragą, sakydamas: tik šios institucijos, niekas kitas. Tai nemokama ir užtrunka kelias minutes.

Patvirtinkite, kad „Route 53” valdo jūsų DNS

Tai veikia tik jei „Route 53” atsako į DNS užklausas jūsų domeno vardu. „Route 53” sistemoje jūsų įrašai gyvena prieglobos zonoje domenui, ir ta zona aktyvi tik tuomet, kai jūsų domeno vardų serveriai nukreipti į keturis „Route 53” vardų serverius, išvardytus zonoje. Atidarykite prieglobos zoną, patikrinkite jos NS įrašą ir patvirtinkite, kad tie vardų serveriai nustatyti jūsų registratoriuje. Jei vardų serveriai nukreipti kitur — pridėkite CAA įrašą pas tą DNS tiekėją.

Pirmiausia sužinokite savo sertifikavimo instituciją

Prieš ką nors pridėdami, išsiaiškinkite, kuri institucija išduoda jūsų sertifikatą — priešingu atveju rizikuojate užblokuoti savo tiekėją. Dažniausios reikšmės:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (naudojama daugumai nemokamų ir automatinių sertifikatų)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Jei naudojate AWS Certificate Manager sertifikatams gauti, turite leisti amazon.com, kitaip ACM negalės išduoti sertifikatų. Jei nesate tikri — paklauskite asmens, kuris nustatė jūsų prieglobą, arba patikrinkite sertifikatą naršyklėje.

Žingsniai „Route 53” sistemoje

1. Prisijunkite prie AWS valdymo konsolės ir atidarykite Route 53.
2. Kairėje meniu pasirinkite Hosted zones, tada pasirinkite savo domeną.
3. Spustelėkite Create record.
4. Palikite lauką Record name tuščią — tai taikys įrašą jūsų domeno šakniai (viršuje). Nerašykite domeno vardo čia.
5. Nustatykite Record type į CAA.
6. Lauke Value įveskite įrašą „Route 53” trijų dalių formatu vienoje eilutėje: 0 issue "letsencrypt.org" Tai yra vėliavos (0), tada žyma (issue), tada sertifikavimo institucija dvigubose kabutėse.
7. TTL palikite numatytąjį (300 sekundžių tinka).
8. Jei paprašoma — pasirinkite Simple routing, tada spustelėkite Create records.

Leidimas daugiau nei vienai sertifikavimo institucijai

Daugelis domenų laikui bėgant naudoja daugiau nei vieną instituciją — pavyzdžiui, AWS Certificate Manager vienai paslaugai ir Let’s Encrypt kitai. „Route 53” sistemoje papildomas institucijas pridedame kaip papildomas eilutes tame pačiame CAA įrašo lauke Value, po vieną kiekvienai:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Kartu tai sako: abi šios institucijos yra leidžiamos, jokios kitos. Kiekviena eilutė yra atskiras issue įrašas; nerašykite dviejų institucijų vienoje eilutėje.

Dažnos klaidos „Route 53” sistemoje

• Didžiausia klaida — užblokuoti savo instituciją. Jei pridėsite CAA įrašą, išvardijantį tik digicert.com, bet jūsų sertifikatas iš tikrųjų atnaujinamas per Let’s Encrypt ar ACM — kitas atnaujinimas tyliai nepavyks ir jūsų spyna gali sugesti po kelių savaičių. Prieš išsaugodami visada įtraukite visas institucijas, kurias iš tikrųjų naudojate.
• Leiskite amazon.com ACM. Jei jūsų sertifikatai gaunami per AWS Certificate Manager ir jūsų CAA įrašas neapima amazon.com, ACM patvirtinimas ir atnaujinimas nepavyks. Tai dažniausia „Route 53” specifinė klaida.
• Kabutės aplink CA privalomas. „Route 53” tikisi 0 issue "letsencrypt.org" su institucija dvigubose kabutėse. Praleistos kabutės daro įrašą netinkamu.
• Palikite įrašo vardą tuščią šakniai. Tuščias vardas taikosi prie viršūnės; domeno vardo įvedimas sukuria įrašą netinkamoje vietoje.
• Flags yra 0 įprastam įrašui. Kita reikšmė, 128, yra griežtas režimas — naudokite tik sąmoningai.
• Naudokite tik domeną, ne URL. Reikšmė yra letsencrypt.org, ne https://letsencrypt.org ir ne www..
• Palaukite. DNS pakeitimai gali įsigalioti per kelias minutes iki poros valandų. Esami sertifikatai toliau veiks; CAA tikrinamas tik išduodant arba atnaujinant naują sertifikatą.

Patikrinkite, ar veikia

Išsaugojus ir propagavus, paleiskite nemokamą patikrinimą šiame tinklalapyje. Jis paprastai pasakys, ar jūsų CAA įrašas yra ir kurioms institucijoms leidote veikti.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.