Cloudflare Docs
Support
Support
Visit Support on GitHub
Set theme to dark (⇧+D)

证书颁发机构授权(CAA)常见问题解答

​​ 证书颁发机构授权(CAA)常见问题解答

本文回答了有关 CAA DNS 记录的几个常见问题。

​​ 本文内容


证书颁发机构授权(CAA)记录允许域所有者将颁发限制为指定的证书颁发机构(CA)。_CAA 记录_可阻止 CA 在某些情况下颁发证书。  有关更多详细信息,请参阅  RFC 6844


​​ Cloudflare 如何评估 CAA 记录?

_CAA 记录_由 CA 评估,而不是由 Cloudflare 评估。


​​ 如果我的 _CAA 记录_排除了颁发 Universal SSL,为什么必须禁用 Universal SSL?

由于 Universal SSL 证书在客户之间共享,因此您的 _CAA 记录_可能会阻止颁发其他客户的 Universal SSL。因此,Cloudflare 必须为您的域禁用 Universal SSL,以确保您的 _CAA 记录_不会影响其他客户。

如果您不需要 Cloudflare 提供的 Universal SSL,请在 SSL/TLS 应用中禁用 Universal SSL


​​ 要启用 Universal SSL,需要添加哪些记录?

如果您继续使用 Cloudflare 的免费 Universal SSL 证书,则会自动设置以下 DNS 记录:

example.com.IN CAA 0 issue "comodoca.com"example.com.IN CAA 0 issue "digicert.com"example.com.IN CAA 0 issue "letsencrypt.org"example.com.IN CAA 0 issuewild "comodoca.com"example.com.IN CAA 0 issuewild "digicert.com"example.com.IN CAA 0 issuewild "letsencrypt.org"

单独使用时,issuewild 只允许颁发通配符证书。  因此,除非您在标记下拉列表中指定_允许通配符和特定主机名_选项,否则 Cloudflare 无法将您的根域添加到证书中:

configuring_caa_records_comodoca_annotated.png

​​ 禁用 Universal SSL 时会发生什么?

您的域名将立即从 Universal SSL 证书中移除,除非您 上传自定义 SSL 证书(需要 Business 或 Enterprise Plan),否则您的用户将观察到 SSL 错误。


​​ 如何重新启用 Universal SSL?

向 Cloudflare 支持部门提交支持票证。


​​ 设置 CAA 记录有哪些危险?

如果您属于大型组织的成员或多方负责获取 SSL 证书的组织,请包括允许颁发适用于您组织的所有 CA 的 CAA 记录。  如果不这样做,可能会无意中阻止为组织中的其他部分颁发 SSL。