CAA记录检查与配置​

CAA记录检查与配置 ​此页内容仅影响域名证书签发，不影响IP地址证书，如果您正在签发IP地址证书，请跳过此步骤

现在所有CA都需要对域名型证书进行CAA检查，不论DNS验证，还是文件验证，都必须要通过CAA检查，以确保证书仅在域名所有人允许的情况下才能签发，避免安全问题。自2017年9月起，所有证书颁发机构都必须实施CAA检查。

一般在未配置的情况下，您的域名应当没有任何CAA记录，此时并不会影响任何品牌的CA进行证书签发操作。

我的域名在什么情况下会被CAA记录影响？ ​如果您的域名存在下列情况之一：

您曾自行在DNS服务提供商（例如DNSPod/阿里云/Cloudflare）配置过CAA类型的记录，或者您的域名目前托管在Cloudflare，且启用了特定功能则域名验证会受到CAA记录限制影响，可能会导致特定品牌CA无法为您的域名签发证书。

Details根据Cloudflare的官方文档，您的域名在符合下列情况之一的时候，CF会自动添加CAA记录，并且在解析控制面板不会显示：

启用 Universal SSL或 高级证书功能的情况下，自行添加了任意CAA记录，或者启用 Universal SSL并且启用了 AMP Real URL 或者 SXG Signed Exchanges您可查看 CF原文说明了解详情

如何确认CAA记录？ ​通过 dig <您的域名> CAA 或者通过在线检查工具 （例如 MySSL 输入您的根域名）提示您有设置CAA记录，并且CAA记录 不包含 certum.pl

则您需要跟随以下步骤说明，添加Certum CA至您的CAA列表中，才能继续签发流程

如果已有存在的CAA记录，我需要做什么？ ​您需要前往您的域名解析服务（DNS）提供商，添加两条CAA记录来允许 Certum CA 为您签发证书:

0 issue "certum.pl"0 issuewild "certum.pl"以 Cloudflare 为例：您可参考下图示例，添加两条CAA记录至您的域名：

首先请您前往 Cloudflare 控制台进入您需要签发证书的域名的DNS页面请按照图示说明添加两条CAA记录： Type (类型)为 CAACA domain name （CA域名）内容为 certum.plName （名称）字段内容为 @第一条记录的 Tag 为 仅允许通配符 (Only allow wildcards)第二条记录的 Tag 为 仅允许单域名 (Only allow single domain) 在您添加完毕以后，您应该能看到类似下图的两条记录