CAA, вероятно, следит за тем, чтобы выданные сертификаты приходили из моего центра сертификации, а не из другого.
Приведено в DNS:
example.com. 300 IN CAA 0 issue "ca.example.com"
example.com. 300 IN CAA 0 issuewild "ca.example.com"
Вопрос 1. Может ли мой центр сертификации использовать его для создания следующих поддоменов?
a.b.c.example.com
d.e.f.example.com
Вопрос 2: Если это невозможно, как проще всего сделать это в DNS? У нас много суб-поддоменов.
Спецификация CAA включает DNS, идущий вверх по корню.
Итак, сначала DNS-запрос для записи CAA на a.b.c.example.com
будет выполнено, и если это не удастся, то тот же запрос для b.c.example.com
, затем c.example.com
и т.д., пока не будет найдено совпадение или не будет достигнут корень.
Видеть RFC 8659 §3, который показывает используемый алгоритм:
RelevantCAASet(domain):
while domain is not ".":
if CAA(domain) is not Empty:
return CAA(domain)
domain = Parent(domain)
return Empty
с этим объяснением:
Поиск CAA RRset поднимается по дереву имен DNS от указанной метки до корня DNS, но не включая его. пока не будет найден CAA RRset.
Итак, ответ на ваш вопрос 1 - да, и, следовательно, вопрос 2 отпадает.