今天客戶的憑証到期,但是無法自動更新憑証,後來發現錯誤
[www.xxx.org.tw] Authorization result: invalid
[www.xxx.org.tw] {
"type": "urn:ietf:params:acme:error:caa",
"detail": "CAA record for glsf.org.tw prevents issuance",
"status": 403
}
因為客戶用的是Hinet的DNS域名,在代管的DNS的記錄裡,並沒有CAA的記錄
但是用谷歌的dig工具查詢時,有發現其實有埋一個CAA
https://toolbox.googleapps.com/apps/dig/
| CAA |
TTL:
5 hours 44 minutes 15 secondsDATA: 0 issue "pki.hinet.net" |
這樣就導致了上述的錯誤,必須要改CAA記錄來解決,可以參考下面這個網址
https://www.sslmarket.com/ssl/the-caa-record-may-block-certificate-issuance/
;; ANSWER SECTION:
domain.com 600 IN CAA 1 issue "letsencrypt.org"
domain.com 600 IN CAA 1 issue "digicert.com"
可笑的是Hinet基本的DNS無法控制CAA,也就是不能新增修改刪除
Hinet要我們申請ProDNS,月費NT$1000元,https://domain.hinet.net/dns_manage_c/Pro_DNS.pdf
這可不便宜 跟當初選用免費的SSL憑証不就背道而馳。
PS.這裡有人遇到相同的問題 https://www.facebook.com/a.tech.guy/posts/5171170979619973/?locale=zh_TW
所以,要解決的辦法有三:
1.DNS轉出
2.申請ProDNS
3.請用申請亞太的SSL憑証,一年1000元
https://emanager.aptg.com.tw/konakart/CustomProdIntro.action?page=SslIntro
就這樣,做個記錄,主要是原因,解法,及工具都列出了。
留言列表
