主页 / server / 问题 / 1156915
Accepted
sameer khalid
Asked: 2024-03-26 17:23:44 +0800 CST

在 Route 53 中添加 CAA 记录后 DNS 无法解析

  • 772

我有一个域名,比方说 Sameer.com,在 namecheap 中管理。
还有一个域,product.com,在 AWS Route53 中管理。

Sameer.com 存在以下 DNS 记录:
CNAME quotes.sameer.com sameer.product.com
CAA sameer.com 0 issue "lenscrypt.org"

以及product.com 的以下记录:
A *.product.com <AWS_LOADBALANCER>

现在,如果我运行dig quotes.sameer.com,它会解析为 AWS 负载均衡器 IP 地址。

到目前为止,一切都很好。

现在,如果我尝试通过 AWS 为域颁发证书quotes.sameer.com,ACM 会抛出 CAA 错误,因为不允许 Amazon 颁发证书。

现在我可以做两件事。

  1. 在根域 Sameer.com 下添加 CAA 记录(在 namecheap 中)
  2. 在 Sameer.product.com 下添加 CAA 记录(在 Route53 中)

现在,如果我添加 CAA 记录
CAA sameer.product.com 0 issue "amazon.com"
AWS 就能够成功颁发证书。

但是,一旦我添加此 CAA 记录,该dig quotes.sameer.com命令就无法解析。
当我 时ping quotes.sameer.com,它显示“未知主机”。

我认为 CAA 记录不应干扰解析 CNAME。
请帮忙。我在这里缺少什么?

cname-record

2 个回答

  1. Best Answer

    您需要了解 CNAME 和 CAA 记录的工作原理。

    RFC 2181, 10.1 CNAME 资源记录

    DNS CNAME(“规范名称”)记录的存在是为了提供与别名关联的规范名称。任何一个别名可能只有一个这样的规范名称。该名称通常应该是 DNS 中其他位置存在的名称,尽管在某些罕见的应用程序中,别名的伴随规范名称在 DNS 中未定义。CNAME如果使用 DNSSEC,别名(记录标签)可能具有SIGNXTKEYRR,但可能没有其他数据。

    另一方面,RFC 6844, 3定义...

    通过在该域名上发布多个 CAA RR,可以将多个属性与同一域名关联。

    和...

    定义了以下属性标签:

    • issue <Issuer Domain Name> [; <name>=<value> ]*:发布属性条目授权域名持有者或在该域名持有者明确授权下行事的一方为发布该属性的域颁发证书。

    可能的解决方案:

    • CAA在域 APEX添加记录并继续使用CNAME

      example.org.         CAA    0 issue "lenscrypt.org"
example.org.         CAA    0 issue "amazon.com"
quotes.example.org.  CNAME  example-org.example.com.

    • 添加CAA记录并将 替换CNAMEA记录。A当发生变化时,您需要更新记录example-org.example.com.

      example.org.         CAA    0 issue "lenscrypt.org"
quotes.example.org.  CAA    0 issue "amazon.com"
quotes.example.org.  A      192.0.2.1

    • 将记录添加到规范( ) 主机名CAA的域中并继续使用,例如,CNAMECNAME

      example.org.              CAA    0 issue "lenscrypt.org"
quotes.example.org.       CNAME  example-org.example.com.
example-org.example.com.  CAA    0 issue "amazon.com"

      这里,别名quotes.example.org(#2; ) 将在 (#3)之前CNAME example-org.example.com.搜索记录,因为RFC 6844, 4定义了这样的顺序:CAAexample.org

      例如,如果为X.Y.Z颁发者请求证书,将按以下顺序搜索相关的 CAA 记录集:

      1. X.Y.Z
      2. 别名 ( X.Y.Z)
      3. Y.Z
      4. 别名 ( Y.Z)
      5. Z
      6. 别名 ( Z)
      7. 返回空

      但是,此订单中缺少别名的父域(此处example.com),因此您需要CAA为每个子域添加不同的记录。

    • 1

  2. 这是固定的。感谢 @Esa Jokinen
    dig quotes.sameer.com在我添加 CAA 记录后没有解析,因为当找到特定资源集(无论它是 A 记录、CAA 等)时,它不会检查同一域的通配符,在我的情况下是*.product.com

    So
    CAA sameer.product.com 0 issue "amazon.com"
    隐藏
    A *.product.com <AWS_LOADBALANCER>

    所以解决方案是添加另一个 A 记录sameer.product.com
    A sameer.product.com <AWS_LOADBALANCER>

    • 0

相关问题