Citrix ADC

Crear registros de la CAA para un nombre de dominio

La autorización de la entidad de certificación (CAA) es un tipo de registro DNS que permite a los propietarios del dominio especificar qué entidad de certificación (CA) puede emitir certificados SSL para el dominio.

Una conexión segura a un servicio requiere certificados SSL/TLS para garantizar la identidad del host y establecer un canal seguro. No tener registros de la CAA puede provocar un riesgo de seguridad, ya que cualquiera puede generar una solicitud de firma de certificado (CSR) para el dominio y obtener la firma del certificado por cualquier CA.

Los registros de la CAA proporcionan una capa adicional de protección a su presencia en la web al permitir que el propietario del dominio declare qué entidades de certificación están autorizadas a emitir un certificado para el dominio. Si hay una solicitud de certificado de una CA no autorizada, el registro de la CAA notifica al propietario del dominio al respecto. Si un registro de la CAA no está presente para un dominio, cualquier CA puede emitir el certificado para ese dominio.

El dispositivo Citrix ADC admite registros CAA de DNS en los siguientes modos:

  • Proxy: el dispositivo almacena en caché la respuesta de registro de la CAA de los servidores back-end y responde a consultas adicionales del mismo tipo desde la caché.
  • ADNS: el dispositivo responde a las consultas DNS de tipo de registro de la CAA de los registros DNS configurados.

Nota:

  • Puede agregar un máximo de 20 registros de la CAA por nombre de dominio.
  • No se admiten los modos de resolución recursiva y reenviador.

Agregar un registro de CAA mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

add dns caaRec <domain> <issuer-string> -tag <tag-string> -flag [None|Critical] [-TTL <secs>]
<!--NeedCopy-->

Ejemplo:

> add dns caaRec newdomain string1 -tag Issue -flag None [-TTL 3600]
<!--NeedCopy-->

Mostrar detalles del comando

> show dns caaRec

1)  Domain : newdomain  ECS Subnet : None      Record id: 39423 TTL : 3600 secs Record Type : ADNS

Value: string1

Tag: issue

Flag: NONE

2)  Domain : test.com  ECS Subnet : None      Record id: 2572   TTL : 5 secs    Record Type : ADNS

Value: ca1.test.com

Tag: issue

Flag: NONE
<!--NeedCopy-->

Para eliminar un registro CAA, escriba el siguiente comando en el símbolo del sistema:

rm dns caaRec <domain> <issuer-string> -tag <tag-string> | -recordId <positive_integer>@)
<!--NeedCopy-->

Ejemplo:

rm dns caaRec newdomain -recordId 39423
<!--NeedCopy-->

Nota:

- ID de registro @ no se admite en un clúster.

Agregar un registro de CAA mediante la interfaz gráfica de usuario

Vaya a Administración del tráfico > DNS > Registros > Registros de la CAA y cree un registro de direcciones.

Crear registros de la CAA para un nombre de dominio