# 域名ssl和caa记录等知识记录整理
# 域名CAA记录
简单的说 CAA记录 就是只允许域名从指定的 证书签发机构申请证书.
作用 对日常操作来说 其实就是因为 签发机构可能会检查caa记录.
理论上从2017年之后,所有证书签发机构都是要强制检查caa记录的,但是实际….
从安全角度来说,就你可以限制,只有指定的 证书机构可以给你 域名颁发证书
# CAA记录作用域
@ 作用到全局
subdomain.leiyanhui.com 就只作用到subdomain.leiyanhui.com 这个域名 和这个域名的下级域
但是部分签发机构会审核子域名的caa记录,就需要手动添加了
# 常用记录
| |
通知邮箱
| |
# 常用免费ssl证书
# letsencrypt
可以简单用脚本续签,支持泛域名(有效期三个月) ,对老设备 旧浏览器 兼容性差一些
续签是需要重新部署的哦.
国内很多地方都可以在线申请,宝塔也内置了申请和自动续签,以及自动部署的脚本
适合自有服务器环境,适合泛域名环境。github的pages 是使用他家的
# DigiCert
阿里云可以申请 一个账号只可以申请20个,单一域名,有效期一年,对老设备 旧浏览器 兼容性几乎是最好的。 DigiCert 虽然很高大上,但是免费版现在好像没有用国内cdn了.
申请网站:阿里云、华为云
# TrustAsia
TrustAsia 据说是DigiCert的代理商,免费版貌似也是没有国内cdn的
自2022年03月03日22:00:00起,TrustAsia 根证书签发由 Digicert 根证书变更为 Sectigo 根证书。
有效期1年,www.xxx.com 会送 xxx.com ,无法续签,重新申请。对老设备 旧浏览器 兼容性几乎是最好的。 部分网站支持 3个月的通配符 域名申请
适合cdn用 自己记得每年重新申请就好。 腾讯云 一个账号 可以申请20个. 申请网站:腾讯云,又拍云,七牛云 https://freessl.cn/
# cloudflare
有效期15年, 只适合cf代理的站点,不怎么适合国内使用
# Sectigo
letsencrypt 一样 3个月,其他不明 没用过
# 同一个域名允许多个caa颁发机构
重复添加多条记录就可以了. 一开始我以为用什么特殊符号分割的。实际不是
# 其他一些别名的问题
# 子域名caa
部分厂商下发ssl 会同时检查 根域名和子域名的caa记录, 需要添加
# cname 和 caa冲突的问题
先暂停cname记录,然后ping一下ip 获得ip后 添加A记录先
然后添加对应记录的caa,然后申请,证书下发后,删除A记录 恢复 cname
# 相关资源
通常在nginx 宝塔之类 环境下,我们用的都是 pem crt格式,如果部署到 iis tomcat 需要 PFX/PKCS jks 格式
在线格式转化 https://www.sslaaa.com/tools/crt_to_jks
强烈建议自己转化。。。
自动帮你生成记录值内容 https://sslmate.com/caa/
在线查询CAA记录值 https://www.myssl.cn/tools/caa.html
# 常用caa记录
| |
# 推荐
dnspods 小泽的
https://r2wind.cn/articles/20221006.html
https://r2wind.cn/articles/20220808.html
ssl详细查询