aУ нас есть следующая конфигурация DNS, позволяющая нашим клиентам использовать специальные URL-адреса для наших служб:
sub1.clientA.com CNAME clientA.our-domain.com
*.our-domain.com CNAME nlb-sub.amazonaws.com
nlb-sub.amazonaws.com A <some-ips>
Мы используем Let's Encrypt для предоставления сертификата для субдомена sample1.clientA.com. Обратите внимание, что у нас в настоящее время нет записей CAA.
Однако один из наших клиентов, то есть clientA, имеет две ограничительные записи CAA для своего корневого домена.
clientA.com CAA 0 issuewild "ca1.com"
clientA.com CAA 0 issue "ca1.com"
В настоящее время Let's Encrypt не может выдать сертификат для sample1.clientA.com. Он возвращает ошибку 403:
Запись CAA для sample1.clientA.com запрещает выпуск.
Скорее всего, из-за ограничительных записей CAA.
Следует ли нам попросить нашего клиента создать разрешающую запись CAA для его корневого домена? Или, учитывая, что проверка CAA следует за CNAME, как и все другие DNS-запросы, следует ли ее поместить в поддомен nlb-sub.amazonaws.com?
Мы не используем Route53 и, как ни странно, наш DNS-провайдер не поддерживает записи ALIAS.
Да, записи CAA для поддоменов разрешены и переопределяют записи CAA для домена. Если для поддомена существует CNAME, будет следовать CNAME, и вместо нее будет использоваться любая запись CAA для псевдонима. RFC 6844 § 4 подробно объясняет эти правила на примере.
Таким образом, вы можете позаботиться об этом самостоятельно, добавив запись CAA для clientA.our-domain.com.
AFAIK Let's Encrypt правильно обрабатывает такие записи CAA, но если у вас все еще есть проблема, вам следует связаться с их форумом поддержки сообщества.