Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Wie behebe ich den CAA-Fehler „Fehlgeschlagen“, wenn ein ACM-Zertifikat ausgestellt oder erneuert wird?

Lesedauer: 6 Minute
0

Ich habe ein neues Zertifikat angefordert oder versucht, ein Zertifikat mit AWS Certificate Manager (ACM) zu verlängern, aber der Domainname hat den Status „Fehlgeschlagen“. Der Validierungsstatus lautet „Erfolgreich“, obwohl die Zertifikatsanforderung fehlgeschlagen ist.

Kurzbeschreibung

Ein Certificate Authority Authorization-Datensatz (CAA-Datensatz) ist ein DNS-Datensatz. Mit diesem Datensatz können Sie die Certificate Authority (CA) steuern, die Zertifikate für Ihre Domain ausstellen kann. ACM überprüft die CAA-Datensätze, um sicherzustellen, dass der Domaininhaber ACM erlaubt, ein SSL-Zertifikat für die Domain auszustellen. Die CAA prüft die folgenden Bedingungen:

  • Bei der Überprüfung von CAA-Datensätzen wird der DNS-Namensbaum nach oben verschoben.
  • Kein CAA-Datensatz bedeutet, dass jede Zertifizierungsstelle Zertifikate ausstellen kann.
  • Die Überprüfung von CAA-Datensätzen folgt dem CNAME-Datensatz.
  • Das Tag „issue“ kann sowohl für Domains ohne Platzhalter als auch für Domains mit Platzhalter verwendet werden, während das Tag „issuewild“ nur die Domains mit Platzhalter betrifft.

Behebung

Bei der Überprüfung von CAA-Einträgen wird der DNS-Namensbaum nach oben verschoben

Die Überprüfung von CAA-Datensätzen beginnt bei der Anforderungsdomain und geht dann im DNS-Namensbaum nach oben. Wenn Sie ein Zertifikat für www.example.com anfordern, überprüft ACM zunächst den CAA-Datensatz für die Third-Level-Domain www.example.com. Dann sucht ACM nach dem Second-Level-Domainnamen example.com.

Nachdem der CAA-Datensatz gefunden wurde, wird die CAA-Suche beendet und der Datensatz wird wirksam. Die folgenden Beispiele zeigen, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für www.example.com anfordern:

(Example 1 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

Der Datensatz für den Domainnamen der dritten Ebene wird wirksam, sodass ACM das Zertifikat ausstellen kann. Der Domainnamensdatensatz der zweiten Ebene wird nicht verwendet.

(Example 2 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

Der erste Datensatz wird wirksam, wodurch ACM daran gehindert wird, das Zertifikat auszustellen. Der zweite Datensatz wird ignoriert.

(Example 3 / www.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Der erste Datensatz hat keinen Einfluss auf den CAA-Datensatz für www.example.com. Der zweite Datensatz wird wirksam, sodass ACM das Zertifikat ausstellen kann.

Die folgenden Beispiele zeigen, welcher CAA-Datensatz wirksam wird, wenn Sie ein Zertifikat für example.com anfordern:

(Example 4 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

Der erste Datensatz wird nicht wirksam, da www.example.com eine Subdomain der angeforderten Domain ist und die Überprüfung von CAA-Datensätzen im DNS-Baum nicht nach unten erfolgt. Der zweite Datensatz wird wirksam, wodurch ACM daran gehindert wird, das Zertifikat auszustellen.

(Example 5 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Der erste Datensatz wird ignoriert, da www.example.com eine Subdomain der angeforderten Domain ist und die Überprüfung von CAA-Einträgen im DNS-Namensbaum nicht nach unten geht. Der zweite Datensatz wird wirksam, sodass ACM das Zertifikat ausstellen kann.

Kein CAA-Eintrag bedeutet, dass jede Zertifizierungsstelle Zertifikate ausstellen kann

Wenn Sie keinen CAA-Eintrag für die angeforderte Domain konfigurieren, kann jede CA, einschließlich ACM, Zertifikate für Ihre Domain ausstellen. Im folgenden Beispiel kann ACM beispielsweise Zertifikate für example.com ausstellen:

(Example 6 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Da die CAA-Prüfung im DNS-Baum nicht nach unten geht, wird der Datensatz ignoriert.

Die Überprüfung von CAA-Datensätzen folgt dem CNAME-Datensatz.

Die CAA-Datensatzprüfung wird mit dem CNAME-Datensatz fortgesetzt, der auf eine andere Domain verweist. In diesem Beispiel verweist www.example.com auf www.example.net, das über einen CAA-Datensatz verfügt:

(Example 7 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

Der erste Datensatz leitet die CAA-Prüfung auf www.example.net um. Dieser CAA-Datensatz verhindert, dass eine Zertifizierungsstelle Zertifikate ausstellt, und ACM kann keine Zertifikate für www.example.com ausstellen.

Wenn die verwiesene Domain www.example.net keinen CAA-Datensatz hat, wird die CAA-Datensatzprüfung auf die Basisdomain example.com übertragen.

(Example 8 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

In diesem Szenario kann ACM Zertifikate für www.example.com ausstellen, da auf www.example.net kein CAA-Datensatz konfiguriert ist. Beachten Sie, dass die Überprüfung von CAA-Datensätzen nicht zum übergeordneten Element eines CNAME-Datensatzes wechselt und der CAA-Datensatz von example.net nicht überprüft wird. Weitere Informationen finden Sie in ANHANG A auf der CA/Browser Forum-Website.

Das Tag „issue“ kann sowohl für Domains ohne Platzhalter als auch für Domains mit Platzhalter verwendet werden, während das Tag „issuewild“ nur die Domain mit Platzhalter betrifft

Das Tag „issue“ ermöglicht es CA, Zertifikate sowohl für Domains ohne Platzhalter www.example.com als auch für Domains mit Platzhalter \ *.example.com auszustellen. Sie können das Tag „issuewild“ verwenden, um anzugeben, wie eine CA mit Domains mit Platzhalter umgeht. Die folgenden Beispiele zeigen, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für *.example.com anfordern:

(Example 9 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Der CAA-Eintrag ermöglicht es ACM, sowohl ein Domainzertifikat ohne Platzhalter als auch ein Domainzertifikat mit Platzhalter auszustellen, und ACM kann das Zertifikat ausstellen.

(Example 10 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Das Tag-Feld „issuewild“ überschreibt „issue“ für eine Domainanfrage mit Platzhalter, und ACM kann das Zertifikat nicht ausstellen. **Hinweis:**Sie müssen einen CAA-Eintrag für example.com einrichten, damit CA Zertifikate für *.example.com ausstellen kann.

(Example 11 / *.example.com)Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Der erste CAA-Datensatz wird ignoriert und der zweite CAA-Datensatz verhindert, dass CA Zertifikate für *.example.com ausstellt.

Das folgende Beispiel zeigt, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für *.test.example.com anfordern:

(Example 12 / *.test.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

Die CAA-Prüfung findet den ersten Datensatz, beendet den Aufstieg im DNS-Namensbaum und ermöglicht ACM, das Zertifikat auszustellen.

Das Tag „issuewild“ wird ignoriert, wenn Sie eine Domain ohne Platzhalter anfordern. Dieses Beispiel zeigt, welcher CAA-Eintrag wirksam wird, wenn Sie ein Zertifikat für www.example.com anfordern:

(Example 13 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Da es sich um eine Domainanfrage ohne Platzhalter handelt, wird der erste CAA-Datensatz ignoriert. Der zweite CAA-Datensatz wird wirksam und CA darf das Zertifikat nicht ausstellen.

Weitere Informationen zum Konfigurieren eines CAA-Datensatzes finden Sie unter (Optional) Konfiguration eines CAA-Datensatzes.

Ähnliche Informationen

Ressourcendatensatz zur DNS-Zertifizierungsstellenautorisierung (CAA) auf der Datatracker-Website

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 6 Monaten