证书策略 DNS
CAA 校验器
校验并生成 CAA 记录,支持 Let’s Encrypt、DigiCert、通配符证书与事件上报策略,让证书授权规则在发布前就足够清晰。
记录校验
检查 CAA flags、tag 语义以及常见配置错误。
区域输出
生成可直接发布到 BIND 或其他 DNS 系统的 zone 记录。
面向提供商
同时给出 Cloudflare 常见的 flag、tag、value 拆分字段。
预设
issue 用于普通证书,issuewild 用于通配符证书授权,iodef 用于证书事件报告地址。
结论
CAA 记录格式有效
Only letsencrypt.org is authorized to issue non-wildcard certificates for this hostname.
生成结果
标准化值
0 issue "letsencrypt.org"
Zone 记录
@ 3600 IN CAA 0 issue "letsencrypt.org"
Cloudflare 风格字段
Flag
0
Tag
issue
Value
letsencrypt.org
最佳实践
- 如果通配符证书策略与普通证书不同,建议同时配置 issue 和 issuewild。
- 确保 iodef 上报地址真实可用,能收到证书误签发或异常通知。
- 只有在明确需要 CA 理解该属性时,才使用 issuer-critical 标志。
- 把 CAA 同时当作控制策略与文档,确保它和证书自动化配置保持一致。
为什么 CAA 重要
CAA 通过 DNS 明确指定哪些证书机构可以为你的主机名签发证书,减少授权模糊空间。
团队常漏掉什么
很多团队只配 issue,没有考虑 issuewild,导致通配符证书策略不明确。
运维价值
清晰的 CAA 策略可以让证书自动化、审计和事件处理更容易落地。
关于此工具
CAA,也就是 Certification Authority Authorization,是一种 DNS 记录,用于告诉证书机构哪些 CA 可以为某个主机名签发证书。它还可以单独约束通配符证书,并通过 IODEF 指定证书事件上报地址。这个 CAA 校验与生成工具支持结构化生成、现有记录解析、语法标准化,以及面向常见 DNS 平台的可复制输出。它特别适合证书自动化上线、CA 迁移、域名安全审查和合规审计场景,让证书授权策略可显式、可复查。
使用方法
- 如果你已经有一条 CAA 记录,可以先粘贴并解析它。
- 也可以直接填写主机名、TTL、flags、tag 和 value。
- 通过预设快速生成 Let’s Encrypt、通配符授权或报告地址等常见模式。
- 查看标准化结果、zone 记录和建议说明。
- 确认它与你的证书自动化策略一致后,再发布到 DNS 平台。
功能特点
- 支持解析现有 CAA zone 记录
- 支持校验 flags、tag 以及常见 IODEF 形式
- 生成标准化 CAA 值和完整 zone 记录
- 提供 Cloudflare 风格字段输出
- 用易读语言解释 issue、issuewild、iodef 的含义
常见用例
- 限制只允许 Let’s Encrypt 或某商业 CA 签发证书
- 单独定义通配符证书授权策略
- 为证书自动化上线准备 DNS 策略
- 在安全审计中审查证书控制项
- 为事件响应或合规文档化 CA 政策
技术详情
CAA 记录的值格式是 flags tag "value"。在 zone 文件中通常写成 name TTL IN CAA flags tag "value"。
最常见的标签有:
- issue:授权普通证书签发。
- issuewild:授权通配符证书签发。
- iodef:指定证书事件报告地址。
当 flags 为 128 时,表示启用了 issuer-critical 位。如果 CA 不理解该属性,就必须拒绝签发。
CAA 常见问题
issue ";" 是什么意思?
它表示在该记录作用范围内,明确禁止证书机构为此主机签发证书。
是否一定要同时配置 issue 和 issuewild?
只有当通配符证书策略和普通证书策略不同的时候才需要;否则只用 issue 也可以。
iodef 标签是做什么的?
它用于告诉证书机构把误签发或证书事件报告发送到哪里,通常是 mailto: 或 https: 地址。
配置了 CAA 后,还需要域名验证吗?
需要。CAA 只决定“谁可以签发”,并不会替代 ACME 或其他域名控制验证流程。