AWS Certificate Manager
ユーザーガイド (Version 1.0)

(オプション) CAA レコードの設定

オプションで CAA (認証機関による認証) DNS レコードを設定して、AWS Certificate Manager (ACM) が証明書を発行することを許可されるドメインまたはサブドメインを指定することができます。ACM は、ドメインを検証した後、CAA レコードをチェックして、証明書を発行できるかどうかを確認します。CAA チェックを実行しない場合は、ドメインの CAA レコードを設定しないか、レコードを空白のままにすることができます。CAA には以下のフィールドがあります。

flags

ACM で [tag (タグ)] フィールドの値がサポートされるかどうかを指定します。この値は 0 に設定します。

タグ

[tag] フィールドの値は次のいずれかになります。現時点では [iodef] フィールドは無視されます。

問題

[value (値)] フィールドに指定した ACM CA が、ドメインまたはサブドメインの証明書の発行を許可されていることを示します。

issuewild

[value (値)] フィールドに指定した ACM CA が、ドメインまたはサブドメインのワイルドカード証明書の発行を許可されていることを示します。ワイルドカード証明書はドメインまたはサブドメイン、およびそのすべてのサブドメインに適用されます。

このフィールドの値は、[tag] フィールドの値によって異なります。この値は、引用符 ("") で囲む必要があります。

[tag] が [issue] の場合

[value] フィールドには CA ドメイン名を指定します。このフィールドには、Amazon CA 以外の CA の名前を指定することができます。ただし、次の 4 つの Amazon CA のいずれかを指定する CAA レコードがない場合、ACM は、ドメインまたはサブドメインに証明書を発行することはできません。

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

[value] フィールドにセミコロン (;) を指定して、ドメインまたはサブドメインの証明書を発行することを許可された CA はないことを示すことができます。このフィールドは、特定のドメインに対する証明書の発行が不要になった時点で使用します。

[tag] が [issuewild] の場合

[value] フィールドは、値がワイルドカード証明書に適用されること以外は [tag] が [issue] の場合と同じです。

例 CAA レコードの例

次の例では、ドメイン名が先頭にあり、その後にレコードタイプ (CAA) が続いています。[flags] フィールドは常に 0 です。[tags] フィールドは、[issue] または [issuewild] にすることができます。フィールドが [issue] のときに、[value] フィールドに CA サーバーのドメイン名を入力した場合、その CAA レコードは、リクエストされた証明書のサーバーによる発行を許可したことを示します。[value] フィールドにセミコロン ";" を入力した場合、その CAA レコードは、証明書の発行を許可された CA はないことを示します。CAA レコードの設定は、DNS プロバイダーによって異なります。

Domain Record type Flags Tag Value example.com. CAA 0 issue "SomeCA.com" example.com. CAA 0 issue "amazon.com" example.com. CAA 0 issue "amazontrust.com" example.com. CAA 0 issue "awstrust.com" example.com. CAA 0 issue "amazonaws.com" example.com CAA 0 issue ";"

DNS レコードを追加または変更する方法の詳細については、DNS プロバイダーに確認してください。Route 53 では CAA レコードをサポートしています。Route 53 が DNS プロバイダの場合のレコード作成の詳細については、「CAA 形式」を参照してください。