Adición de un conjunto de registros CAA
Escenarios
Si desea especificar CA autorizadas para emitir certificados HTTPS para su nombre de dominio, agregue conjuntos de registros CAA para el nombre de dominio.
Los conjuntos de registros CAA se utilizan para evitar que los certificados HTTPS se emitan incorrectamente.
Para obtener más información sobre otros tipos de conjuntos de registros, consulte Tipos de conjuntos de registros y reglas de configuración.
Restricciones
Los conjuntos de registros CAA solo se pueden agregar a las zonas públicas.
Procedimiento
- Inicie sesión en la consola de gestión.
- Mueva el cursor a
en el lado izquierdo de la página. En Service List, seleccione Networking > Domain Name Service.
- En el panel de navegación de la izquierda, elija Public Zones.
Se muestra la página Public Zones.
- Haga clic en el nombre de la zona.
- Haga clic en Add Record Set.
Aparece el cuadro de diálogo Add Record Set.
- Establezca los parámetros necesarios en función de Tabla 1.
Tabla 1 Parámetros para agregar un conjunto de registros CAA Parámetro
Descripción
Valor de ejemplo
Name
Prefijo del nombre de dominio a resolver.
Por ejemplo, si el nombre de la zona es de example.com, el prefijo del nombre de dominio puede ser el siguiente:
- www: El nombre de dominio es www.example.com, que se utiliza generalmente para un sitio web.
- Dejar en blanco: El nombre de dominio es example.com.
En algunos casos, es posible que deba establecer el nombre del conjunto de registros en el signo at (@). Sin embargo, el signo en no es compatible. Deje el Name en blanco.
- abc: El nombre de dominio es abc.example.com, un subdominio de example.com.
- mail: El nombre de dominio es mail.example.com, que se usa normalmente para un servidor de correo electrónico.
- *: El nombre de dominio es *.example.com, que es un nombre de dominio comodín, que indica todos los subdominios de example.com.
Left blank
Type
Tipo del conjunto de registros
Si aparece un mensaje que indica que el conjunto de registros que está intentando crear existe, el conjunto de registros entra en conflicto con un conjunto de registros existente.
Para obtener más información, consulte ¿Por qué se muestra un mensaje que indica un conflicto con un conjunto de registros existente cuando agrego un conjunto de registros?
CAA – Grant certificate issuing permissions to CAs
Line
Línea de resolución.
El servidor DNS devolverá la dirección IP de la línea especificada, dependiendo de dónde provengan los visitantes.
Este parámetro solo se admite para nombres de dominio público.
- Default: devuelve el resultado de resolución predeterminado independientemente de dónde provengan los visitantes.
- ISP: devuelve el resultado de la resolución basado en las redes de operador de los visitantes. Para obtener más información, consulte Configuración de líneas ISP.
- Region: devuelve el resultado de resolución basado en la ubicación geográfica de los visitantes. Para obtener más información, consulte Configuración de líneas de región.
Default
TTL (s)
Duración de la caché del conjunto de registros en un servidor DNS local, en segundos.
El valor varía de 300 a 2147483647, y el valor predeterminado es 300.
Si su dirección de servicio cambia con frecuencia, establezca TTL en un valor menor.
Obtenga más información sobre TTL.
El valor predeterminado es 300s, es decir, 5 minutos.
Value
CA para ser autorizada para emitir certificados para un nombre de dominio o sus subdominios
Puede introducir un máximo de 50 valores de registro, cada uno en una línea independiente.
El formato es [flag] [tag] [value].
Reglas de configuración:
- flag: identificador de autoridad de certificación (CA), que es un carácter sin signo que oscila entre 0 y 255. Por lo general, el valor se establece en 0.
- tag: puede introducir de 1 a 15 caracteres, incluidos solo letras y dígitos. La etiqueta puede ser una de las siguientes:
- issue: autoriza a las CA a emitir todo tipo de certificados.
- issuewild: autoriza a las CA a emitir certificados comodín.
- iodef: solicita notificaciones una vez que las CA reciben solicitudes de certificado no válidas.
- value: CA autorizada o dirección de correo electrónico/URL requerida para la notificación una vez que la CA recibe solicitudes de certificado no válidas, según el valor de tag. El valor debe estar entre comillas ("") y puede contener un máximo de 255 caracteres, incluidos letras, dígitos, espacios y caracteres especiales -#*?&_~=:;.@+^/!%
0 issue "ca.abc.com"
0 issuewild "ca.def.com"
0 iodef "mailto:admin@domain.com"
0 iodef "http:// domain.com/log/"
Weight
(Opcional) Peso de un conjunto de registros. El valor varía de 0 a 1000, y el valor predeterminado es 1.
Este parámetro solo se admite para nombres de dominio público.
Si una línea de resolución de una zona contiene varios conjuntos de registros del mismo tipo, puede establecer diferentes pesos para cada conjunto de registros. Para obtener más información, consulte Configuración de enrutamiento ponderado.
1
Tag
(Opcional) Identificador del conjunto de registros. Este parámetro se muestra al expandir More Settings.
Cada etiqueta contiene una clave y un valor. Puede agregar un máximo de 10 etiquetas a un conjunto de registros.
Para obtener más información acerca de los requisitos de valor y clave de etiqueta, consulte Tabla 2.
example_key1
example_value1
Description
(Opcional) Información complementaria sobre el conjunto de registros. Este parámetro se muestra al expandir More Settings.
Puede introducir un máximo de 255 caracteres.
-
Tabla 2 Clave de etiquetas y requisitos de valor Parámetro
Requerimientos
Valor de ejemplo
Key
- Este campo es obligatorio.
- Debe ser único para cada recurso.
- Puede contener un máximo de 36 caracteres.
- No se puede comenzar o terminar con un espacio o contener caracteres especiales =*<>\,|/
example_key1
Value
- Este campo es obligatorio.
- Puede contener un máximo de 43 caracteres.
- No se puede comenzar o terminar con un espacio o contener caracteres especiales =*<>\,|/
example_value1
- Haga clic en OK.
Operaciones relacionadas
Para obtener más información acerca de los conjuntos de registros de CAA, consulte Configuración de registros de CAA para evitar la emisión de certificados HTTPS no autorizados.