本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
支援的 DNS 記錄類型
Amazon Route 53 支援本節列出的 DNS 記錄類型。每個記錄類型還包含範例,說明當您使用 API 存取 Route 53 時如何設定 Value 元素的格式。
注意
針對包括網域名稱的記錄類型,請輸入完整網域名稱,例如 www.example.com。結尾的點號為選用;Route 53 會假設網域名稱是完整的。這表示 Route 53 會將 www.example.com (無結尾點號) 和 www.example.com. (有結尾點號) 視為相同。
Route 53 提供 DNS 功能的延伸,又稱為別名記錄。與 CNAME 記錄類似,別名記錄可讓您將流量路由到選取的 AWS 資源,例如 CloudFront 分佈和 Amazon S3 儲存貯體。如需詳細資訊 (包含別名與 CNAME 記錄的比較),請參閱 選擇別名或非別名記錄。
主題
A 記錄類型
您可以使用格式為點號十進位格式之 IPv4 位址的 A 記錄,將流量路由傳送到像是 Web 伺服器的資源。
Amazon Route 53 主控台的範例
192.0.2.1
Route 53 API 的範例
<Value>192.0.2.1</Value>
AAAA 記錄類型
您可以使用格式為點號十六進位格式之 IPv6 位址的 AAAA 記錄,將流量路由傳送到像是 Web 伺服器的資源。
Amazon Route 53 主控台的範例
2001:0db8:85a3:0:0:8a2e:0370:7334
Route 53 API 的範例
<Value>2001:0db8:85a3:0:0:8a2e:0370:7334</Value>
CAA 記錄類型
CAA 記錄會指定允許哪種憑證授權單位 (CA) 為網域或子網域發出憑證。建立 CAA 記錄有助於防止錯誤的 CA 為您的網域發出憑證。CAA 記錄不能替代由您的憑證授權單位指定的安全要求,例如驗證您是網域擁有者的要求。
您可以使用 CAA 記錄來指定以下內容:
哪些憑證授權機構 (CA) 可以發出 SSL/TLS 憑證 (如果有)
當 CA 發出網域或子網域的憑證時要聯絡的電子郵件地址或 URL
當您將 CAA 記錄新增到託管區域,可以指定以空格分隔的三個設定:
flags tag "value"
請注意有關 CAA 記錄的以下事項:
tag的值僅可包含 A-Z、a-z 和 0-9 字元。永遠用引號 ("") 括住
value。某些 CA 允許或需要其他
value的值。以名稱值組形式指定其他值,並以分號 (;) 分隔,例如:0 issue "ca.example.net; account=123456"如果 CA 收到對子網域 (例如 www.example.com) 的憑證請求,而且如果該子網域沒有 CAA 記錄,CA 提交對父系網域 (例如 example.com) 的 CAA 記錄的 DNS 查詢。如果父系網域的記錄存在,而且如果憑證請求有效,CA 會為子網域發出憑證。
我們建議您向 CA 諮詢,以判斷要為 CAA 記錄指定哪些值。
您無法建立具有相同名稱的 CAA 記錄與 CNAME 記錄,因為 DNS 名稱不允許 CNAME 記錄和任何其他記錄的類型使用相同名稱。
授權 CA 為網域或子網域發出憑證
若要授權 CA 為網域或子網域發出憑證,請建立一個與網域或子網域同名的記錄,並指定以下設定:
標記 -
0標籤 –
issue值 – 您授權為網域或子網域發出憑證的 CA 代碼
例如,假設您想要授權 ca.example.net 為 example.com 發出憑證。您使用以下設定,為 example.com 建立 CAA 記錄:
0 issue "ca.example.net"
如需有關如何授權 AWS Certificate Manager 發行憑證的資訊,請參閱AWS Certificate Manager 《 使用者指南》中的設定 CAA 記錄。
授權 CA 為網域或子網域發出萬用字元憑證
若要授權 CA 為網域或子網域發出萬用字元憑證,請建立一個與網域或子網域同名的記錄,並指定以下設定。萬用字元憑證適用於網域或子網域及其子網域。
標記 -
0標籤 –
issuewild值 – 您授權為網域或子網域及其子網域發出憑證的 CA 代碼
例如,假設您想要授權 ca.example.net 為 example.com 發出萬用字元憑證 (適用於 example.com 及其所有子網域)。您使用以下設定,為 example.com 建立 CAA 記錄:
0 issuewild "ca.example.net"
當您要授權 CA 為網域或子網域發出萬用字元憑證,請建立一個與網域或子網域同名的記錄,並指定以下設定。萬用字元憑證適用於網域或子網域及其子網域。
防止任何 CA 為網域或子網域發出憑證
若要防止任何 CA 為網域或子網域發出萬用字元憑證,請建立一個與網域或子網域同名的記錄,並指定以下設定:
標記 -
0標籤 –
issue值 -
";"
例如,假設您不希望任何 CA 為 example.com 發出憑證。您使用以下設定,為 example.com 建立 CAA 記錄:
0 issue ";"
如果您不需要任何 CA 為 example.com 或其子網域發出憑證,可以使用以下設定,為 example.com 建立 CAA 記錄:
0 issuewild ";"
注意
如果您為 example.com 建立 CAA 記錄並指定下列兩個值,使用值 ca.example.net 的 CA 可以為 example.com 發出憑證:
0 issue ";" 0 issue "ca.example.net"
要求任何 CA 在收到無效憑證請求時聯絡您
如果您希望收到無效憑證請求的任何 CA 聯絡您,請指定以下設定:
標記 -
0標籤 –
iodef值 – 當 CA 收到無效憑證請求時,您希望 CA 通知的 URL 或電子郵件地址。使用適用的格式:
"mailto:email-address""http://URL""https://URL"
例如,如果您希望收到無效憑證請求的任何 CA 傳送電子郵件到 admin@example.com,使用以下設定建立 CAA 記錄:
0 iodef "mailto:admin@example.com"
使用 CA 支援的另一個設定
如果您的 CA 支援未在 CAA 記錄的 RFC 中定義的功能,請指定以下設定:
標記 – 128 (如果 CA 不支援指定的功能,此值可防止 CA 發出憑證。)
標籤 – 您授權 CA 使用的標籤
值 – 與標籤值對應的值
例如,假設您的 CA 在收到無效憑證請求時支援傳送簡訊。(據我們所知,沒有任何一個 CA 支援此選項。) 記錄的設定可能如下:
128 exampletag "15555551212"
範例
Route 53 主控台的範例
0 issue "ca.example.net" 0 iodef "mailto:admin@example.com"
Route 53 API 的範例
<ResourceRecord> <Value>0 issue "ca.example.net"</Value> <Value>0 iodef "mailto:admin@example.com"</Value> </ResourceRecord>
CNAME 記錄類型
CNAME 記錄會將目前記錄的名稱 (例如 acme.example.com) 的 DNS 查詢對應到另一個網域 (例如 example.com 或 example.net),或另一個子網域 (acme.example.com 或 zenith.example.org)。
重要
DNS 通訊協定不允許您為 DNS 命名空間的頂端節點 (也稱為 Zone Apex) 建立 CNAME 記錄。例如,如果您註冊 DNS 名稱 example.com,Zone Apex 就是 example.com。您不能為 example.com 建立 CNAME 記錄,但可以為 www.example.com、newproduct.example.com 等建立 CNAME 記錄。
此外,如果您為子網域建立 CNAME 記錄,則無法建立為該子網域任何其他記錄。例如,如果您為 www.example.com 建立 CNAME,則無法建立其 Name (名稱) 欄位值是 www.example.com 的任何其他記錄。
Amazon Route 53 也支援別名記錄,可讓您將查詢路由至選取的 AWS 資源,例如 CloudFront 分佈和 Amazon S3 儲存貯體。別名在某些方面與 CNAME 記錄類型類似;不過,您可以針對 Zone Apex 建立別名。如需詳細資訊,請參閱選擇別名或非別名記錄。
Route 53 主控台的範例
hostname.example.com
Route 53 API 的範例
<Value>hostname.example.com</Value>
DS 記錄類型
委派簽署人 (DS) 記錄是指委派子網域地區的地區金鑰。當您設定 DNSSEC 簽署時,如果已建立信任鏈,則可能會建立 DS 記錄。如需在 Route 53 中設定 DNSS EC 的相關資訊,請參閱 在 Amazon Route 53 中設定 DNSSEC 簽署。
前三個值是代表金鑰標籤、演算法與摘要類型的十進位值。第四個值是地區金鑰的摘要。如需 DS 記錄格式的詳細資訊,請參閱 RFC 4034
Route 53 主控台的範例
123 4 5 1234567890abcdef1234567890absdef
Route 53 API 的範例
<Value>123 4 5 1234567890abcdef1234567890absdef</Value>
HTTPS 記錄類型
HTTPS 資源記錄是 Service Binding (SVCB) DNS 記錄的一種形式,可提供延伸的組態資訊,讓用戶端能夠使用 HTTP 通訊協定輕鬆安全地連線至服務。組態資訊是以允許單一 DNS 查詢中連線的參數提供,而不需要多個 DNS 查詢。
HTTPS 資源記錄的格式為:
SvcPriority TargetName SvcParams(optional)
下列參數說明於 RFC 9460 第 9.1 節。
- SvcPriority
代表優先順序的整數。0 優先順序表示別名模式,通常用於區域頂點的別名。此值是 Route 53 的整數 0-32767,其中 1-32767 是服務模式記錄。降低優先順序,提高偏好設定。
- TargetName
別名目標 (適用於別名模式) 或替代端點 (適用於 ServiceMode) 的網域名稱。
- SvcParams (選用)
空白分隔清單,其中包含由 Key=Value 對或獨立金鑰組成的每個參數。如果有多個值,則會以逗號分隔的清單顯示。以下是定義的 SvcParams:
1:alpn– 應用程式層通訊協定交涉通訊協定 IDs。預設為 HTTP/1.1、h2HTTP/2 over TLS,以及h3HTTP/3 (HTTP over QUIC 通訊協定)。2:no-default-alpn– 不支援預設值,您必須提供alpn參數。3:port– 替代端點,或可到達服務的連接埠。4:ipv4hint– IPv4 地址提示。5:ech– 加密的用戶端您好。6:ipv6hint– IPv6 地址提示。7:dohpath– 透過 HTTPS 範本的 DNS8:ohttp– 服務會操作 Oblivious HTTP 目標
別名模式的 Amazon Route 53 主控台範例
0 example.com
服務模式的 Amazon Route 53 主控台範例
16 example.com alpn="h2,h3" port=808
適用於別名模式的 Amazon Route 53 API 範例
<Value>0 example.com</Value>
服務模式的 Route 53 API 範例
<Value>16 example.com alpn="h2,h3" port=808</Value>
如需詳細資訊,請參閱 RFC 9460、透過 DNS 的服務繫結和參數規格 (SVCB 和 HTTPS 資源記錄)
注意
Route 53 不支援任意的未知金鑰呈現格式 keyNNNNN
MX 記錄類型
MX 記錄會指定郵件伺服器的名稱,且如果您有兩個或多個郵件伺服器,則會同時指定優先順序。MX 記錄的每個值會包含兩個值:優先順序和網域名稱。
- 優先順序
代表電子郵件伺服器優先順序的整數。如果只指定一個伺服器,優先順序可以是介於 0 到 65535 之間的任何整數。如果指定多個伺服器,為優先順序指定的值指出哪個是您希望電子郵件第一個路由到的電子郵件伺服器,然後第二個,以此類推。含最低優先順序值的伺服器優先。例如,如果您有兩個電子郵件伺服器,而且為優先順序指定值 10 和 20,電子郵件永遠會移至優先順序 10 的伺服器 (除非伺服器不可用)。如果指定值 10 和 10,電子郵件會大致相等地路由到兩個伺服器。
- 網域名稱
電子郵件伺服器的網域名稱。指定 A 或 AAAA 記錄的名稱 (如 mail.example.com)。在 RFC 2181 的 DNS 規格釐清
中,第 10.3 節禁止指定網域名稱值的 CNAME 記錄名稱。(RFC 提到的「別名」表示 CNAME 記錄,而非 Route 53 別名記錄。)
Amazon Route 53 主控台的範例
10 mail.example.com
Route 53 API 的範例
<Value>10 mail.example.com</Value>
NAPTR 記錄類型
名稱授權單位指標 (NAPTR) 是一種記錄類型,供動態委派探索系統 (DDDS) 應用程式用來將一個值轉換為另一個值,或將一個值取代為另一個值。例如,一個常見用途是將電話號碼轉換為 SIP URI。
NAPTR 記錄的 Value 元素包含六個以空格分隔的值:
- 順序
當您指定一個以上的記錄,您希望 DDDS 應用程式評估記錄的順序。有效值:0-65535。
- Preference
指定兩個或更多具有相同 Order (順序) 的記錄時,您對這些記錄的順序偏好設定會納入評估。例如,如果兩個記錄的 Order (順序) 為 1,DDDS 應用程式會先評估具有較低 Preference (偏好設定) 的記錄。有效值:0-65535。
- 旗標
DDDS 應用程式特定的設定。RFC 3404
中目前定義的值是大寫字母和小寫字母"A"、"P"、"S" 和 "U",以及空字串 ""。用引號括住 Flags (標記)。 - 服務
DDDS 應用程式特定的設定。用引號括住 Service (服務)。
如需詳細資訊,請參閱適用的 RFC:
URI DDDS 應用程式 – https://tools.ietf.org/html/rfc3404#section-4.4
S-NAPTR DDDS 應用程式 – https://tools.ietf.org/html/rfc3958#section-6.5
U-NAPTR DDDS 應用程式 – https://tools.ietf.org/html/rfc4848#section-4.5
- Regexp
規則運算式,DDDS 應用程式用來將輸入值轉換為輸出值。例如,IP 電話系統可使用規則運算式,將使用者輸入的電話號碼轉換為 SIP URI。用引號括住 Regexp。為 Regexp 指定值,或者為 Replacement (取代) 指定值,但不要同時為這兩者指定值。
規則運算式可以包含下列任何可列印的 ASCII 字元:
a-z
0-9
- (連字號)
(空格)
! # $ % & ' ( ) * + , - / : ; < = > ? @ [ ] ^ _ ` { | } ~ .
" (引號)。若要將常值引號包含在字串中,請在它前面加上 \ 字元:\"。
\ (反斜線)。若要將反斜線包含在字串中,請在它前面加上 \ 字元:\\。
以八進位格式指定所有其他值,例如國際化網域名稱。
如需 Regexp 語法,請參閱 RFC 3402 第 3.2 節替代表達式語法
- Replacement
您需要 DDDS 應用程式對其提交 DNS 查詢的下一個網域名稱的完整網域名稱 (FQDN)。DDDS 應用程式會用您為 Replacement (取代) 指定的值 (如果有) 取代輸入值。為 Regexp 指定值,或者為 Replacement (取代) 指定值,但不要同時為這兩者指定值。如果您為 Regexp 指定值,請為 Replacement 指定一個點 (.)。
網域名稱可以包含 a-z、0-9 和 - (連字號)。
如需有關 DDDS 應用程式和 NAPTR 記錄的詳細資訊,請參閱以下 RFC:
Amazon Route 53 主控台的範例
100 50 "u" "E2U+sip" "!^(\\+441632960083)$!sip:\\1@example.com!" . 100 51 "u" "E2U+h323" "!^\\+441632960083$!h323:operator@example.com!" . 100 52 "u" "E2U+email:mailto" "!^.*$!mailto:info@example.com!" .
Route 53 API 的範例
<ResourceRecord> <Value>100 50 "u" "E2U+sip" "!^(\\+441632960083)$!sip:\\1@example.com!" .</Value> <Value>100 51 "u" "E2U+h323" "!^\\+441632960083$!h323:operator@example.com!" .</Value> <Value>100 52 "u" "E2U+email:mailto" "!^.*$!mailto:info@example.com!" .</Value> </ResourceRecord>
NS 記錄類型
NS 記錄會識別託管區域的名稱伺服器。注意下列事項:
NS 記錄最常用於控制網域如何進行網際網路流量路由。若要使用託管區域中的記錄來路由某網域的流量,您可以將網域註冊設定更新成使用預設 NS 記錄中的四個名稱伺服器。(這是與託管區域具有相同名稱的 NS 記錄)。
您可以為子網域 (acme.example.com) 建立個別的託管區域,並使用該託管區域來路由子網域及其子網域 (subdomain.acme.example.com) 的網際網路流量。您可以設定此組態,即所謂的「將子網域的責任委派給託管區域」;設定步驟是在根網域的託管區域中建立另一筆 NS 記錄 (example.com)。如需詳細資訊,請參閱路由傳送子網域的流量。
您也可以使用 NS 記錄來設定白標籤名稱伺服器。如需詳細資訊,請參閱設定白標籤名稱伺服器。
當您建立委派規則將子網域的授權委派給內部部署解析程式時,NS 記錄的另一個用途是用於私有託管區域。您必須先建立此 NS 記錄,才能建立委派規則。如需詳細資訊,請參閱Resolver 端點如何將 DNS 查詢從您的 VPCs轉送到您的網路。
如需 NS 記錄的詳細資訊,請參閱 Amazon Route 53 為公有託管區域建立的 NS 和 SOA 記錄。
Amazon Route 53 主控台的範例
ns-1.example.com
Route 53 API 的範例
<Value>ns-1.example.com</Value>
PTR 記錄類型
PTR 記錄會將 IP 位址對應至對應的網域名稱。
Amazon Route 53 主控台的範例
hostname.example.com
Route 53 API 的範例
<Value>hostname.example.com</Value>
SOA 記錄類型
起始授權 (SOA) 記錄提供有關網域和對應 Amazon Route 53 託管區域的資訊。如需有關 SOA 記錄中欄位的資訊,請參閱 Amazon Route 53 為公有託管區域建立的 NS 和 SOA 記錄。
Route 53 主控台的範例
ns-2048.awsdns-64.net hostmaster.awsdns.com 1 1 1 1 60
Route 53 API 的範例
<Value>ns-2048.awsdns-64.net hostmaster.awsdns.com 1 1 1 1 60</Value>
SPF 記錄類型
SPF 記錄原先用於驗證電子郵件訊息寄件者的身分。不過,不再建議您建立類型是 SPF 記錄的記錄。RFC 7208 在電子郵件中授權網域使用的寄件者政策架構 (SPF) 第 1 版已更新為 "...[I]ts existence and mechanism defined in [RFC4408] have led to some interoperability issues. Accordingly, its use is no longer appropriate for SPF version 1; implementations are not to use it." (在 [RFC4408] 中定義的其存在和機制已導致一些互通性問題。因此,它已不再適合 SPF 版本 1;實作不應再使用它。) 請參閱 RFC 7208 的第 14.1 節 SPF DNS 記錄類型
建議您建立包含適用值的 TXT 記錄,而不是 SPF 記錄。如需有效值的詳細資訊,請參閱 Wikipedia 文章寄件者政策架構
Amazon Route 53 主控台的範例
"v=spf1 ip4:192.168.0.1/16 -all"
Route 53 API 的範例
<Value>"v=spf1 ip4:192.168.0.1/16 -all"</Value>
SRV 記錄類型
SRV 記錄 Value 元素包含四個以空格分隔的值。前三個值是代表優先順序、權重和連接埠的十進位值。第四個值是網域名稱。SRV 記錄用於存取服務,例如電子郵件或通訊服務。如需 SRV 記錄格式的資訊,請參閱您要連線的服務文件。
Amazon Route 53 主控台的範例
10 5 80 hostname.example.com
Route 53 API 的範例
<Value>10 5 80 hostname.example.com</Value>
SSHFP 記錄類型
Secure Shell 指紋記錄 (SSHFP) 可識別與網域名稱相關聯的 SSH 金鑰。SSHFP 記錄必須使用 DNSSEC 保護,才能建立信任鏈。如需 DNSSEC 的詳細資訊,請參閱 在 Amazon Route 53 中設定 DNSSEC 簽署
SSHFP 資源記錄的格式為:
[Key Algorithm] [Hash Type] Fingerprint
RFC 4255
- 金鑰演算法
-
演算法類型:
0– 預留且未使用。1: RSA– Rivest–Shamir–Adleman 演算法是第一個公有金鑰加密系統之一,仍在用於安全資料傳輸。2: DSA– 數位簽章演算法是數位簽章的聯邦資訊處理標準。DSA 是以模組化指數和離散對數數學模型為基礎。3: ECDSA– 橢圓曲線數位簽章演算法是使用橢圓曲線密碼編譯的 DSA 變體。4: Ed25519– Ed25519 演算法是使用 SHA-512 (SHA-2) 和 Curve25519 的 EdDSA 簽章結構描述。6: Ed448– Ed448 是使用 SHAKE256 和 Curve448 的 EdDSA 簽章結構描述。
- 雜湊類型
用來建立公有金鑰雜湊的演算法:
0–預留且未使用。1: SHA-12: SHA-256
- 指紋
雜湊的十六進位表示法。
Amazon Route 53 主控台的範例
1 1 09F6A01D2175742B257C6B98B7C72C44C4040683
Route 53 API 的範例
<Value>1 1 09F6A01D2175742B257C6B98B7C72C44C4040683</Value>
如需詳細資訊,請參閱 RFC 4255:使用 DNS 安全地發佈安全殼層 (SSH) 金鑰指紋
SVCB 記錄類型
您可以使用 SVCB 記錄來提供存取服務端點的組態資訊。SVCB 是一般 DNS 記錄,可用於交涉各種應用程式通訊協定的參數。
SVCB 資源記錄的格式為:
SvcPriority TargetName SvcParams(optional)
下列參數說明於 RFC 9460 第 2.3 節。
- SvcPriority
代表優先順序的整數。0 優先順序表示別名模式,通常用於區域頂點的別名。降低優先順序,提高偏好設定。
- TargetName
別名目標 (適用於別名模式) 或替代端點 (適用於 ServiceMode) 的網域名稱。
- SvcParams (選用)
空白分隔清單,其中包含由 Key=Value 對或獨立金鑰組成的每個參數。如果有多個值,則會以逗號分隔的清單顯示。此值是 Route 53 的整數 0-32767,其中 1-32767 是服務模式記錄。以下是定義的 SvcParams:
1:alpn– 應用程式層通訊協定交涉通訊協定 IDs。預設為 HTTP/1.1、h2HTTP/2 over TLS,以及h3HTTP/3 (HTTP over QUIC 通訊協定)。2:no-default-alpn– 不支援預設值,您必須提供alpn參數。3:port– 可到達服務的替代端點連接埠。4:ipv4hint– IPv4 地址提示。5:ech– 加密的用戶端您好。6:ipv6hint– IPv6 地址提示。7:dohpath– 透過 HTTPS 範本的 DNS8:ohttp– 服務會操作 Oblivious HTTP 目標
別名模式的 Amazon Route 53 主控台範例
0 example.com
服務模式的 Amazon Route 53 主控台範例
16 example.com alpn="h2,h3" port=808
別名模式的 Amazon Route 53 API 範例
<Value>0 example.com</Value>
Route 53 API for 服務模式的範例
<Value>16 example.com alpn="h2,h3" port=808</Value>
如需詳細資訊,請參閱 RFC 9460,透過 DNS 的服務繫結和參數規格 (SVCB 和 HTTPS 資源記錄)
注意
Route 53 不支援任意的未知金鑰呈現格式 keyNNNNN
TLSA 記錄類型
您可以使用 TLSA 記錄來使用具名實體的 DNS 型身分驗證 (DANE)。TLSA 記錄會將憑證/公有金鑰與 Transport Layer Security (TLS) 端點建立關聯,而用戶端可以使用與 DNSSEC 簽署的 TLSA 記錄來驗證憑證/公有金鑰。
只有在您的網域上啟用 DNSSEC 時,才能信任 TLSA 記錄。如需 DNSSEC 的詳細資訊,請參閱 在 Amazon Route 53 中設定 DNSSEC 簽署
TLSA 資源記錄的格式為:
[Certificate usage] Selector [Matching type] [Certificate association data]
下列參數會在 RFC 6698 第 3
- 憑證用量
指定提供的關聯,用於比對 TLS 交握中呈現的憑證:
0:CA 限制條件 – 憑證或公有金鑰必須在 TLS 中伺服器提供之終端實體憑證的任何公有金鑰基礎設施 (PKIX) 憑證路徑中找到。此限制條件會限制哪些 CAs 可用來發行指定服務的憑證。
1:服務憑證限制 – 指定終端實體憑證 (或公有金鑰),必須與 TLS 中伺服器提供的終端實體憑證相符。此認證會限制主機上指定的服務可以使用哪些終端實體憑證。
2:信任錨點聲明 – 指定憑證 (或公有金鑰),在 TLS 中驗證伺服器提供的終端實體憑證時,必須用作「信任錨點」。允許網域管理員指定信任錨點。
3:網域發行的認證 – 指定憑證 (或公有金鑰),必須符合 TLS 中伺服器提供的終端實體憑證。此認證可讓網域管理員為網域發行憑證,而不涉及第三方 CA。此憑證不需要通過 PKIX 驗證。
- 選擇器
指定交握中伺服器所呈現憑證的哪個部分符合關聯值:
0:整個憑證必須相符。
1:主體公有金鑰或 DER 編碼的二進位結構必須相符。
- 比對類型
指定憑證比對的呈現 (由選取器欄位決定):
0:內容的完全相符。
1:SHA-256 雜湊。
2:SHA-512 雜湊。
- 憑證關聯資料
要根據其他欄位的設定比對的資料。
Amazon Route 53 主控台的範例
0 0 1 d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971
Route 53 API 的範例
<Value>0 0 1 d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971</Value>
如需詳細資訊,請參閱 RFC 6698,具名實體的 DNS 型身分驗證 (DANE) Transport Layer Security (TLS) 通訊協定:TLSA
TXT 記錄類型
TXT 記錄包含一或多個用雙引號 (") 括住的字串。使用簡便路由政策時,請將網域 (example.com) 或子網域 (www.example.com) 的所有值包含在相同 TXT 記錄中。
輸入 TXT 記錄值
單一字串最多可以包含 255 個字元,包括下列字元:
a-z
A-Z
0-9
空格
-(連字號)
! " # $ % & ' ( ) * + , - / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
如果您需要輸入超過 255 個字元的值,請將該值分割為 255 個字元以下的字串,然後以雙引號 (") 括住每個字串。在主控台中,在同一行上列出所有字串:
"String 1" "String 2" "String 3"
對於 API,將所有字串包含在同一 Value 元素中:
<Value>"String 1" "String 2" "String 3"</Value>
TXT 記錄中值的最大長度是 4,000 個字元。
每行輸入一個 TXT 值,即可輸入多個值。
TXT 記錄值中的特殊字元
如果您的 TXT 記錄包含下列任何字元,則必須使用 \三位數八進位碼格式的逸出碼來指定字元:
八進位字元 000 到 040 (0 至 32 十進位,0x00 到 0x20 十六進位)
八進位字元 177 到 377 (127 至 255 十進位,0x7F 到 0xFF 十六進位)
例如,如果您的 TXT 記錄的值是 "exämple.com",則指定 "ex\344mple.com"。
如需 ASCII 字元與八進位碼之間的映射,請執行「ASCII 八進位碼」的網際網路搜尋。一項有用的參考是 ASCII 程式碼 – 延伸 ASCII 表格
若要將引號 (") 包含在字串中,請在引號前面放置反斜線 (\) 字元:\"。
TXT 記錄值中的大寫和小寫
大小寫會保留,因此 "Ab" 和 "aB" 是不同的值。
範例
Amazon Route 53 主控台的範例
在不同的行放置每個值:
"This string includes \"quotation marks\"." "The last character in this string is an accented e specified in octal format: \351" "v=spf1 ip4:192.168.0.1/16 -all"
Route 53 API 的範例
在不同的 Value 元素中放置每個值:
<Value>"This string includes \"quotation marks\"."</Value> <Value>"The last character in this string is an accented e specified in octal format: \351"</Value> <Value>"v=spf1 ip4:192.168.0.1/16 -all"</Value>
