在CDN自定义域上启用自定义https时出错

Question

在Azure CDN上的自定义域上启用自定义HTTPS时，我得到以下错误：

(BadRequest)我们为您的自定义域找到了一个CAA记录，该记录不包括作为授权证书颁发机构的DigiCert，因此不能让DigiCert为您生成证书。或者考虑将“问题”"digicert.com“添加到您的CAA记录中，或者从您的域名DNS区域中删除所有CAA记录。

这通过CLI (az cdn custom-domain enable-https)和web门户进行。

我们已通过Cloudflare将digicert设置为适当的CAA记录：

dig +short CAA mydomain.ca | sort
0 iodef "mailto:caa@mydomain.ca"
0 issue "comodoca.com"
0 issue "digicert.com; cansignhttpexchanges=yes"
0 issue "letsencrypt.org"
0 issuewild "comodoca.com"
0 issuewild "digicert.com; cansignhttpexchanges=yes"
0 issuewild "letsencrypt.org"

; cansignhttpexchanges=yes的存在是否是引起这些问题的原因？几周前，这在我们的开发环境中运行得很好，并且在同一领域。

Answer 1

由于这是为应用程序服务工作，我们最终与微软开了一张票，他们解决了他们的问题。我们现在可以在必要时提供经费。

Answer 2

是的，对于Azure和Microsoft，CAA记录值严格限制在以下值：https://docs.digicert.com/manage-certificates/dns-caa-resource-record-check/#valid-caa-resource-record-values

• digicert.com
• www.digicert.com
• digicert.ne.jp
• cybertrust.ne.jp
• symantec.com
• thawte.com
• geotrust.com
• rapidssl.com

请修剪"；cansignhttpexchanges=yes“并重试一次。