Citrix ADC

为域名创建 CAA 记录

证书颁发机构授权 (CAA) 是一种 DNS 记录,允许域所有者指定哪个证书颁发机构 (CA) 可以为域颁发 SSL 证书。

与服务的安全连接需要 SSL/TLS 证书来确保主机的身份并建立安全通道。没有 CAA 记录可能会导致安全风险,因为任何人都可以为域生成证书签名请求 (CSR) 并获得任何 CA 签名的证书。

CAA 记录允许域名所有者声明允许哪些证书颁发机构为域名颁发证书,从而为你的 Web 存在提供一层额外的保护。如果有人向未经授权的 CA 申请证书,则 CAA 记录会通知域名所有者同样的情况。如果某个域没有 CAA 记录,则允许任何 CA 为该域颁发证书。

Citrix ADC 设备在以下模式下支持 DNS CAA 记录:

  • 代理:设备缓存来自后端服务器的 CAA 记录响应,并响应来自缓存的更多相同类型的查询。
  • ADNS:设备响应来自配置的 DNS 记录的 CAA 记录类型 DNS 查询。

注意:

  • 每个域名最多可以添加 20 条 CAA 记录。
  • 不支持递归解析器和转发器模式。

使用 CLI 添加 CAA 记录

在命令提示符下,键入以下命令:

add dns caaRec <domain> <issuer-string> -tag <tag-string> -flag [None|Critical] [-TTL <secs>]
<!--NeedCopy-->

示例:

> add dns caaRec newdomain string1 -tag Issue -flag None [-TTL 3600]
<!--NeedCopy-->

显示命令详情

> show dns caaRec

1)  Domain : newdomain  ECS Subnet : None      Record id: 39423 TTL : 3600 secs Record Type : ADNS

Value: string1

Tag: issue

Flag: NONE

2)  Domain : test.com  ECS Subnet : None      Record id: 2572   TTL : 5 secs    Record Type : ADNS

Value: ca1.test.com

Tag: issue

Flag: NONE
<!--NeedCopy-->

要删除 CAA 记录,请在命令提示符下键入以下命令:

rm dns caaRec <domain> <issuer-string> -tag <tag-string> | -recordId <positive_integer>@)
<!--NeedCopy-->

示例:

rm dns caaRec newdomain -recordId 39423
<!--NeedCopy-->

注意:

-recordID 集群中不支持 @。

使用 GUI 添加 CAA 记录

导航到 流量管理 > DNS > 记录 > CAA 记录 ,然后创建地址记录。

为域名创建 CAA 记录