把CAA记录放在哪里

Question

aWe具有以下DNS配置，允许我们的客户端对我们的服务使用虚荣心URL：

sub1.clientA.com        CNAME    clientA.our-domain.com
*.our-domain.com        CNAME    nlb-sub.amazonaws.com
nlb-sub.amazonaws.com   A        <some-ips>

我们使用加密为子域sample1.clientA.com提供证书。注意，我们目前还没有CAA记录。

但是，我们的一个客户端(即clientA )为其根域设置了两个限制性的CAA记录。

clientA.com      CAA  0 issuewild   "ca1.com"
clientA.com      CAA  0 issue       "ca1.com"

目前，让我们加密不能为sample1.clientA.com颁发证书。它返回一个403错误：

sample1.clientA.com的CAA记录阻止发行。

很可能是因为限制性的CAA记录。

我们应该要求我们的客户为其根域建立一个允许的CAA记录吗？或者，考虑到CAA验证与所有其他DNS请求一样遵循CNAME，那么它是否应该放在北草坪会议大楼的子域(sub.amazonaws.com)上？

我们不使用Route53和AFAIK，我们的DNS提供者不支持别名记录。

Answer 1

是的，子域的CAA记录是允许的，并且覆盖域的CAA记录。如果子域存在CNAME，则将遵循CNAME，并使用任何用于别名的CAA记录。RFC 6844§4用一个例子对这些规则进行了深入的解释。

因此，您应该能够通过为clientA.our-domain.com添加CAA记录来自己处理这个问题。

AFAIK让我们加密正确处理这样的CAA记录，但如果你仍然有问题，你应该联系他们的社区支持论坛。