Come posso risolvere gli errori CAA per l'emissione o il rinnovo di un certificato ACM?

7 minuti di lettura

Ho richiesto un nuovo certificato o ho provato a rinnovarlo con Gestione certificati AWS (ACM). Lo stato del nome di dominio è "Non riuscito" e ho ricevuto un errore simile al seguente: "Richiesta non riuscita. Lo stato di questo certificato è "Non riuscito". La convalida di uno o più nomi di dominio non è riuscita a causa di un errore CAA (Certificate Authority Authentication)." Lo stato della convalida è "Riuscito", anche se la richiesta del certificato non è riuscita.

Breve descrizione

Un record di Certificate Authority Authorization (CAA) è un record DNS che consente di controllare quale Autorità di certificazione (CA) può emettere certificati per il tuo dominio o sottodominio. Quando si richiede o si rinnova un certificato ACM, ACM controlla i record CAA per verificare che il proprietario del dominio consenta ad ACM di emettere un certificato SSL per il dominio. I controlli CAA eseguiti presentano le seguenti condizioni:

Il controllo dei record CAA si sposta in alto nella struttura dei nomi DNS
Nessun record CAA significa che qualsiasi CA può emettere certificati
Il controllo dei record CAA segue il record CNAME
Il tag "issue" può essere utilizzato sia per il dominio non carattere jolly che per il dominio carattere jolly, mentre il tag "issuewild" ha effetto solo sul dominio carattere jolly

Soluzione

Il controllo dei record CAA si sposta in alto nella struttura dei nomi DNS

Il controllo dei record CAA inizia dal dominio della richiesta e quindi si sposta verso l'alto nella struttura dei nomi DNS. Se richiedi un certificato per www.example.com, ACM controlla innanzitutto il record CAA per il dominio di terzo livello www.example.com, seguito dal nome di dominio di secondo livello example.com.

Dopo aver trovato il record CAA, la ricerca CAA si interrompe e il record ha effetto. Gli esempi seguenti mostrano quale record CAA ha effetto quando si richiede un certificato per www.example.com:

(Example 1 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

Il record per il nome di dominio di terzo livello entra in vigore e consente ad ACM di emettere il certificato. Il record del nome di dominio di secondo livello non viene utilizzato.

(Example 2 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

Il primo record ha effetto, il che impedisce ad ACM di emettere il certificato. Il secondo record viene ignorato.

(Example 3 / www.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Il primo record non influisce sul record CAA per www.example.com. Il secondo record ha effetto, che consente all'ACM di emettere il certificato.

Gli esempi seguenti mostrano quale record CAA ha effetto quando si richiede un certificato per example.com:

(Example 4 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

Il primo record non viene considerato perché www.example.com è un sottodominio del dominio richiesto e il controllo dei record CAA non si sposta in basso nella struttura DNS. Il secondo record ha effetto, il che impedisce ad ACM di emettere il certificato.

(Example 5 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Il primo record viene ignorato perché www.example.com è un sottodominio del dominio richiesto e il controllo dei record CAA non si sposta in basso nell'albero dei nomi DNS. Il secondo record ha effetto, che consente all'ACM di emettere il certificato.

Nessun record CAA significa che qualsiasi CA può emettere certificati

Se non configuri un record CAA per il dominio richiesto, qualsiasi CA, incluso ACM, può emettere certificati per il tuo dominio. Ad esempio, ACM può emettere certificati per example.com nell'esempio seguente:

(Example 6 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Poiché il controllo CAA non si sposta verso il basso nella struttura DNS, il record viene ignorato.

Il controllo dei record CAA segue il record CNAME

Il controllo dei record CAA procede con il record CNAME che punta a un dominio diverso. In questo esempio, www.example.com fa riferimento a www.example.net, che ha un record CAA:

(Example 7 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

Il primo record trasferisce il controllo CAA su www.example.net. Questo record CAA impedisce a qualsiasi CA di emettere certificati e ACM non può emettere certificati per www.example.com.

Se il dominio indicato (www.example.net) non dispone di un record CAA, il controllo dei record CAA passa al dominio di base (example.com).

(Example 8 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

In questo scenario ACM può emettere certificati per www.example.com perché www.example.net non ha alcun record CAA configurato. Tieni presente che il controllo dei record CAA non passa al livello principale di un record CNAME e il record CAA di example.net non è controllato. Per ulteriori informazioni, consulta l'APPENDICE A in Requisiti di base per l'emissione e la gestione di certificati pubblicamente attendibili.

Il tag "issue" può essere utilizzato sia per il dominio non carattere jolly che per il dominio carattere jolly, mentre il tag "issuewild" riguarda solo il dominio carattere jolly

Il tag "issue" consente alla CA di emettere certificati sia per i domini non caratteri jolly (www.example.com) che per i domini caratteri jolly (*.example.com). È possibile utilizzare il tag "issuewild" per indicare come una CA gestisce i domini con carattere jolly. Gli esempi seguenti mostrano quale record CAA ha effetto quando si richiede un certificato per *.example.com:

(Example 9 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Il record CAA consente ad ACM di emettere sia un dominio non carattere jolly che un certificato di dominio carattere jolly e ACM può emettere il certificato.

(Example 10 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Il campo tag "issuewild" sostituisce "issue" per una richiesta di dominio carattere jolly, e ACM non può emettere il certificato.

Nota: è necessario configurare un record CAA per example.com per consentire alla CA di emettere certificati per *.example.com.

(Example 11 / *.example.com)
Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Il primo record CAA viene ignorato e il secondo record CAA impedisce alla CA di emettere certificati per *.example.com.

L'esempio seguente mostra quale record CAA ha effetto quando si richiede un certificato per *.test.example.com:

(Example 12 / *.test.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

Il controllo CAA trova il primo record, termina lo spostamento verso l'alto nella struttura dei nomi DNS e consente ad ACM di emettere il certificato.

Il tag "issuewild" viene ignorato quando richiedi un dominio non carattere jolly. Questo esempio mostra quale record CAA ha effetto quando si richiede un certificato per www.example.com:

(Example 13 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Si tratta di una richiesta di dominio non carattere jolly, quindi il primo record CAA viene ignorato. Il secondo record CAA ha effetto e le CA non sono autorizzate a rilasciare il certificato.

Per ulteriori informazioni sulla creazione di un record CAA, consulta (facoltativo) configura un record CAA.

Informazioni correlate

Record di risorse di Autorizzazione dell'autorità di certificazione DNS (CAA)

Argomenti

Sicurezza, identità e conformità

Tag

AWS Certificate Manager

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso risolvere gli errori durante l'emissione di un nuovo certificato ACM-PCA?
AWS UFFICIALEAggiornata 2 anni fa
Perché non posso inviare nuovamente l'e-mail di convalida da ACM per rinnovare un certificato?
AWS UFFICIALEAggiornata 5 mesi fa
Perché il record CNAME non si risolve per il mio certificato emesso da ACM e lo stato di convalida DNS è ancora in attesa di convalida?
AWS UFFICIALEAggiornata un anno fa
Perché non ricevo e-mail di convalida quando utilizzo ACM per emettere o rinnovare un certificato?
AWS UFFICIALEAggiornata 2 anni fa