(Optional) Konfigurieren Sie einen Datensatz CAA

Sie können optional einen DNS Autorisierungseintrag (CAA) für die Zertifizierungsstelle konfigurieren, um anzugeben, dass AWS Certificate Manager (ACM) ein Zertifikat für Ihre Domain oder Subdomain ausstellen darf. Nach der Validierung Ihrer Domain wird ACM geprüft, ob ein CAA Datensatz vorhanden ist, um sicherzustellen, dass ein Zertifikat für Sie ausgestellt werden kann. Sie können sich dafür entscheiden, keinen CAA Datensatz für Ihre Domain zu konfigurieren, wenn Sie die CAA Überprüfung nicht aktivieren möchten.

Ein CAA Datensatz enthält die folgenden Datenfelder:

flags

Gibt an, ob der Wert des Tag-Felds von unterstützt wirdACM. Legen Sie diesen Wert auf 0 fest.

Tag

Das tag-Feld kann einen der folgenden Werte haben. Beachten Sie, dass das iodef-Feld derzeit ignoriert wird.

issue

Zeigt an, dass die ACM Zertifizierungsstelle, die Sie im Wertfeld angeben, berechtigt ist, ein Zertifikat für Ihre Domain oder Subdomain auszustellen.

issuewild

Zeigt an, dass die ACM Zertifizierungsstelle, die Sie im Wertfeld angegeben haben, berechtigt ist, ein Platzhalterzertifikat für Ihre Domain oder Subdomain auszustellen. Ein Platzhalterzertifikat gilt für die Domain oder Unterdomain und alle ihre Unterdomains.

Wert

Der Wert dieses Feldes hängt vom Wert des tag-Feldes ab. Sie müssen diesen Wert mit Anführungszeichen ("") umschließen.

Wenn der tag-Wert issue lautet

Das value-Feld enthält den Domainnamen der Zertifizierungsstelle. Dieses Feld kann den Namen einer nicht mit Amazon assoziierten Zertifizierungsstelle enthalten. Wenn Sie jedoch keinen CAA Datensatz haben, der einen der folgenden vier angibtCAs, ACM kann Amazon kein Zertifikat für Ihre Domain oder Subdomain ausstellen:

• amazon.com

• amazontrust.com

• awstrust.com

• amazonaws.com

Das value-Feld kann auch ein Semikolon (;) enthalten, um anzugeben, dass keine Zertifizierungsstelle ein Zertifikat für Ihre Domain oder Unterdomain ausstellen darf. Verwenden Sie dieses Feld, wenn für eine bestimmte Domain keine Zertifikate mehr ausgestellt werden sollen.

Wenn der tag-Wert issuewild lautet

Das value-Feld ist mit dem Feld für den tag-Wert issue identisch, gilt jedoch für Platzhalterzertifikate.

Wenn ein CAAIssueWild-Datensatz vorhanden ist, der keinen ACM CA-Wert enthält, können keine Platzhalter von ausgegeben werden. ACM Wenn kein IssueWild-Objekt vorhanden ist, es aber einen CAA Issue-Datensatz für gibtACM, können Platzhalter von ausgegeben werden. ACM

Beispiel CAABeispiele für Datensätze

In den folgenden Beispielen steht Ihr Domainname an erster Stelle, gefolgt vom Datensatztyp (CAA). Das flags-Feld ist immer 0. Das tags-Feld kann issue oder issuewild lauten. Wenn das Feld Problem lautet und Sie den Domainnamen eines CA-Servers in das Wertfeld eingeben, gibt der CAA Datensatz an, dass der angegebene Server das angeforderte Zertifikat ausstellen darf. Wenn Sie ein Semikolon „;“ in das Wertfeld eingeben, gibt der CAA Datensatz an, dass keine Zertifizierungsstelle berechtigt ist, ein Zertifikat auszustellen. Die Konfiguration der CAA Datensätze ist je nach Anbieter unterschiedlich. DNS

Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"

Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"

Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"

Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"

Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"

Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"

Weitere Informationen zum Hinzufügen oder Ändern von DNS Datensätzen erhalten Sie bei Ihrem DNS Anbieter. Route 53 unterstützt CAA Datensätze. Wenn Route 53 Ihr DNS Anbieter ist, finden Sie unter CAAFormat weitere Informationen zum Erstellen eines Datensatzes.