Wie behebe ich CAA-Fehler bei der Ausstellung oder Erneuerung eines ACM-Zertifikats?

Lesedauer: 6 Minute

Ich habe ein neues Zertifikat angefordert oder versucht, ein Zertifikat mit AWS Certificate Manager (ACM) zu verlängern. Der Status des Domainnamens lautet „Fehlgeschlagen“, und ich habe eine Fehlermeldung ähnlich der folgenden erhalten: „Anfrage fehlgeschlagen. Der Status dieses Zertifikats ist „Fehlgeschlagen“. Bei einem oder mehreren Domänennamen ist die Validierung aufgrund eines CAA-Fehlers (Certificate Authority Authentication) fehlgeschlagen." Der Validierungsstatus lautet „Erfolgreich“, obwohl die Zertifikatsanforderung fehlgeschlagen ist.

Kurze Beschreibung

Ein CAA-Eintrag (Certificate Authority Authorization) ist ein DNS-Eintrag, mit dem Sie kontrollieren können, welche Zertifizierungsstelle (CA) Zertifikate für Ihre Domain oder Subdomain ausstellen kann. Bei der Beantragung oder Verlängerung eines ACM-Zertifikats überprüft ACM die CAA-Einträge, um sicherzustellen, dass der Domaininhaber ACM erlaubt, ein SSL-Zertifikat für die Domain auszustellen. Die durchgeführten CAA-Prüfungen unterliegen den folgenden Bedingungen:

Bei der Überprüfung von CAA-Einträgen wird der DNS-Namensbaum nach oben verschoben
Kein CAA-Eintrag bedeutet, dass jede Zertifizierungsstelle Zertifikate ausstellen kann
Die Überprüfung von CAA-Datensätzen folgt dem CNAME-Datensatz
Das Tag „issue“ kann sowohl für Domains ohne Platzhalter als auch für Domains mit Platzhalter verwendet werden, während das Tag „issuewild“ nur die Domain mit Platzhalter betrifft

Lösung

Bei der Überprüfung von CAA-Einträgen wird der DNS-Namensbaum nach oben verschoben

Die Überprüfung von CAA-Einträgen beginnt bei der Anforderungsdomain und geht dann im DNS-Namensbaum nach oben. Wenn Sie ein Zertifikat für www.example.com anfordern, überprüft ACM zuerst den CAA-Eintrag für die Third-Level-Domain www.example.com, gefolgt vom Domainnamen der zweiten Ebene example.com.

Nachdem der CAA-Datensatz gefunden wurde, wird die CAA-Suche beendet und der Datensatz wird wirksam. Die folgenden Beispiele zeigen, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für www.example.com anfordern:

(Example 1 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

Der Datensatz für den Domainnamen der dritten Ebene wird wirksam, sodass ACM das Zertifikat ausstellen kann. Der Domainnamenseintrag der zweiten Ebene wird nicht verwendet.

(Example 2 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

Der erste Datensatz wird wirksam, wodurch ACM daran gehindert wird, das Zertifikat auszustellen. Der zweite Datensatz wird ignoriert.

(Example 3 / www.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Der erste Datensatz hat keinen Einfluss auf den CAA-Datensatz für www.example.com. Der zweite Datensatz wird wirksam, sodass ACM das Zertifikat ausstellen kann.

Die folgenden Beispiele zeigen, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für example.com anfordern:

(Example 4 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

Der erste Eintrag wird nicht berücksichtigt, da www.example.com eine Subdomain der angeforderten Domain ist und die Überprüfung von CAA-Einträgen im DNS-Baum nicht nach unten erfolgt. Der zweite Datensatz wird wirksam, wodurch ACM daran gehindert wird, das Zertifikat auszustellen.

(Example 5 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Der erste Datensatz wird ignoriert, da www.example.com eine Subdomain der angeforderten Domain ist und die Überprüfung von CAA-Einträgen im DNS-Namensbaum nicht nach unten geht. Der zweite Datensatz wird wirksam, sodass ACM das Zertifikat ausstellen kann.

Kein CAA-Eintrag bedeutet, dass jede Zertifizierungsstelle Zertifikate ausstellen kann

Wenn Sie keinen CAA-Eintrag für die angeforderte Domain konfigurieren, kann jede CA, einschließlich ACM, Zertifikate für Ihre Domain ausstellen. Im folgenden Beispiel kann ACM beispielsweise Zertifikate für example.com ausstellen:

(Example 6 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Da die CAA-Prüfung im DNS-Baum nicht nach unten geht, wird der Datensatz ignoriert.

Die Überprüfung von CAA-Datensätzen folgt dem CNAME-Datensatz

Die CAA-Datensatzprüfung wird fortgesetzt, wobei der CNAME-Eintrag auf eine andere Domain verweist. In diesem Beispiel verweist www.example.com auf www.example.net, das über einen CAA-Eintrag verfügt:

(Example 7 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

Der erste Datensatz leitet die CAA-Prüfung auf www.example.net um. Dieser CAA-Eintrag verhindert, dass eine Zertifizierungsstelle Zertifikate ausstellt, und ACM kann keine Zertifikate für www.example.com ausstellen.

Wenn die verwiesene Domain (www.example.net) keinen CAA-Eintrag hat, wird die CAA-Datensatzprüfung auf die Basisdomain (example.com) übertragen.

(Example 8 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

In diesem Szenario kann ACM Zertifikate für www.example.com ausstellen, da auf www.example.net kein CAA-Eintrag konfiguriert ist. Beachten Sie, dass die Überprüfung von CAA-Einträgen nicht zum übergeordneten Element eines CNAME-Eintrags wechselt und der CAA-Eintrag von example.net nicht überprüft wird. Weitere Informationen finden Sie in ANHANG A unter Grundanforderungen für die Ausstellung und Verwaltung von öffentlich vertrauenswürdigen Zertifikaten.

Das Tag „issue“ kann sowohl für Domains ohne Platzhalter als auch für Domains mit Platzhalter verwendet werden, während das Tag „issuewild“ nur die Domain mit Platzhalter betrifft

Das Tag „issue“ ermöglicht es CA, Zertifikate sowohl für Domains ohne Platzhalter (www.example.com) als auch für Domains mit Platzhalter (\ *.example.com) auszustellen. Sie können das Tag „issuewild“ verwenden, um anzugeben, wie eine CA mit Domains mit Platzhalter umgeht. Die folgenden Beispiele zeigen, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für *.example.com anfordern:

(Example 9 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Der CAA-Eintrag ermöglicht es ACM, sowohl ein Domainzertifikat ohne Platzhalter als auch ein Domainzertifikat mit Platzhalter auszustellen, und ACM kann das Zertifikat ausstellen.

(Example 10 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Das Tag-Feld „issuewild“ überschreibt „issue“ für eine Domainanfrage mit Platzhalter, und ACM kann das Zertifikat nicht ausstellen.

**Hinweis:**Sie müssen einen CAA-Eintrag für example.com einrichten, damit CA Zertifikate für *.example.com ausstellen kann.

(Example 11 / *.example.com)
Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Der erste CAA-Datensatz wird ignoriert und der zweite CAA-Datensatz verhindert, dass CA Zertifikate für *.example.com ausstellt.

Das folgende Beispiel zeigt, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für *.test.example.com anfordern:

(Example 12 / *.test.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

Die CAA-Prüfung findet den ersten Datensatz, beendet den Aufstieg im DNS-Namensbaum und ermöglicht ACM, das Zertifikat auszustellen.

Das Tag „issuewild“ wird ignoriert, wenn Sie eine Domain ohne Platzhalter anfordern. Dieses Beispiel zeigt, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für www.example.com anfordern:

(Example 13 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Da es sich um eine Domainanfrage ohne Platzhalter handelt, wird der erste CAA-Eintrag ignoriert. Der zweite CAA-Eintrag wird wirksam, und CA darf das Zertifikat nicht ausstellen.

Weitere Informationen zum Erstellen eines CAA-Eintrags finden Sie unter (optional) Konfiguration eines CAA-Eintrags.

Relevanter Inhalt

Warum habe ich beim Aktualisieren meiner CRL-Konfiguration der ACM Private Certificate Authority einen Amazon-S3-GetBucketAcl-Berechtigungsfehler erhalten?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie teile ich meine ACM Private Certificate Authority mit einem anderen AWS-Konto?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich Fehler bei der Ausstellung eines neuen ACM-PCA-Zertifikats?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum erhalte ich keine Bestätigungs-E-Mails, wenn ich ACM zur Ausstellung oder Erneuerung eines Zertifikats verwende?
AWS OFFICIALAktualisiert vor 2 Jahren