最近更新时间:2020-09-14 18:18:17
该证书所绑定的域名已经设置了CAA记录,且该记录值的证书品牌,与用户所购买的证书品牌不一致。例如您要为您的域名签发一张Sectigo品牌的证书,此时您的域名解析包含了一条CAA记录,且该记录值不是"sectigo.com",这张证书将无法成功签发。
登录任意一台Linux服务器,在命令行输入以下内容来查询CAA记录解析情况。
dig 域名 caa
测试样例和返回结果如下所示。
[root@vm11 ~]# dig sec.ksyun.com caa
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.6 <<>> sec.ksyun.com caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7782
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 19
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sec.ksyun.com. IN CAA
;; ANSWER SECTION:
sec.ksyun.com. 600 IN CAA 0 issue "letsencrypt.org"
sec.ksyun.com. 600 IN CAA 0 issue "sectigo.com"
;; Query time: 27 msec
;; SERVER: 198.13.188.98#53(198.13.188.98)
;; WHEN: Tue Aug 18 17:16:42 CST 2020
;; MSG SIZE rcvd: 469
纯净模式