配置 CAA 记录

当您使用自己的源 Web 服务器 SSL 证书而不是 Cloudflare Universal SSL 时,您只需要配置证书颁发机构授权(CAA)DNS 记录。


使用 Universal SSL 时,请勿配置 CAA 记录

当您启用 Universal SSL 并通过 Cloudflare DNS 应用添加 CAA 记录时,Cloudflare 会为我们的每个 Universal SSL CA 提供商自动添加三个额外的 CAA DNS 记录。  如果禁用 Universal SSL 或未通过 DNS 应用添加 CAA 记录,则 Cloudflare 不会添加其他 CAA 记录。

这些 CAA DNS 记录不会显示在 Cloudflare 仪表板 DNS 应用中。但是,如果使用 dig 运行命令行查询,则将显示所有现有 CAA 记录,包括 Cloudflare Universal SSL 添加的记录。

如果您不想要或不需要 Cloudflare Universal SSL,可以在 Cloudflare SSL/TLS 设置中禁用它。禁用 SSL 会自动删除上述我们的官方提供商的 CAA DNS 记录。

除非您上传自定义 SSL 证书(适用于 Cloudflare Business 和 Enterprise 客户),否则禁用 Universal SSL 将在没有 SSL 支持的情况下保留启用 Cloudflare 的 DNS 记录。

使用自己的证书时,请配置 CAA 记录 

如果您使用自己的源站 SSL 证书(即未由 Cloudflare 配置的证书),则需要为计划用于域的每个证书颁发机构(CA)手动添加 CAA DNS 记录。 

配置 CAA 记录仅适用于 CA 颁发的证书。如果在源 Web 服务器中使用自签名证书,则无法添加 CAA 记录。

要添加 CAA 记录,请执行以下操作:

1.登录 Cloudflare 仪表板。

2.确保选中您要更新的网站。

3.单击 DNS 应用。

4.在 DNS 记录面板中单击添加记录

5.从类型字段中选择 CAA,以显示所需的 CAA 记录详细信息。

adding_caa_records.png

6.在名称文本框中,键入您的域。

7.单击 标记。从下拉列表中选择仅允许特定主机名仅允许通配符向 URL 发送违规报告。默认标记为仅允许特定主机名

configuring_caa_records.png

8.在 CA 域名文本框中输入 CA 域名。

9.单击保存保存您的 CAA 记录。

您可以针对要与您的域相关联的每个 CA 重复上述步骤。  创建完所有记录后,您可以在 DNS 记录面板下显示的记录列表中查看这些记录。

CA 将在权威 DNS 中查询 CAA 记录。  因此,不使用在 CNAME 设置时为域添加到 Cloudflare DNS 应用中的 CAA 记录。

相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持