Citrix ADC

Création d’enregistrements CAA pour un nom de domaine

L’autorisation de l’autorité de certification (CAA) est un type d’enregistrement DNS qui permet aux propriétaires de domaine de spécifier quelle autorité de certification (CA) peut émettre des certificats SSL pour le domaine.

Une connexion sécurisée à un service nécessite des certificats SSL/TLS pour garantir l’identité de l’hôte et établir un canal sécurisé. Le fait de ne pas disposer d’enregistrements CAA peut entraîner un risque de sécurité, car n’importe qui peut générer une demande de signature de certificat (CSR) pour le domaine et obtenir la signature du certificat par n’importe quelle autorité de certification.

Les enregistrements CAA fournissent un niveau de protection supplémentaire à votre présence sur le Web en permettant au propriétaire du domaine de déclarer quelles autorités de certification sont autorisées à délivrer un certificat pour le domaine. S’il existe une demande de certificat provenant d’une autorité de certification non autorisée, l’enregistrement CAA en informe le propriétaire du domaine. Si aucun enregistrement CAA n’est présent pour un domaine, toute autorité de certification est autorisée à émettre le certificat pour ce domaine.

L’appliance Citrix ADC prend en charge les enregistrements DNS CAA dans les modes suivants :

  • Proxy : l’appliance met en cache les réponses aux enregistrements CAA des serveurs principaux et répond à d’autres requêtes du même type à partir du cache.
  • ADNS : l’appliance répond aux requêtes DNS de type enregistrement CAA à partir des enregistrements DNS configurés.

Remarque :

  • Vous pouvez ajouter un maximum de 20 enregistrements CAA par nom de domaine.
  • Les modes résolveur et redirecteur récursifs ne sont pas pris en charge.

Ajouter un enregistrement CAA à l’aide de la CLI

À l’invite de commandes, tapez la commande suivante :

add dns caaRec <domain> <issuer-string> -tag <tag-string> -flag [None|Critical] [-TTL <secs>]
<!--NeedCopy-->

Exemple :

> add dns caaRec newdomain string1 -tag Issue -flag None [-TTL 3600]
<!--NeedCopy-->

Afficher les détails des commandes

> show dns caaRec

1)  Domain : newdomain  ECS Subnet : None      Record id: 39423 TTL : 3600 secs Record Type : ADNS

Value: string1

Tag: issue

Flag: NONE

2)  Domain : test.com  ECS Subnet : None      Record id: 2572   TTL : 5 secs    Record Type : ADNS

Value: ca1.test.com

Tag: issue

Flag: NONE
<!--NeedCopy-->

Pour supprimer un enregistrement CAA, tapez la commande suivante à l’invite de commandes :

rm dns caaRec <domain> <issuer-string> -tag <tag-string> | -recordId <positive_integer>@)
<!--NeedCopy-->

Exemple :

rm dns caaRec newdomain -recordId 39423
<!--NeedCopy-->

Remarque :

-recordId @ n'est pas pris en charge dans un cluster.

Ajouter un enregistrement CAA à l’aide de l’interface graphique

Accédez à Gestion du trafic > DNS > Enregistrements > Enregistrements CAA et créez un enregistrement d’adresse.

Création d’enregistrements CAA pour un nom de domaine