CAA record is een DNS record waarmee de domeineigenaar kan aangeven welke CA certificaten er uitgegeven mogen worden voor jouw domeinnaam.
Om CAA records te kunnen aanmaken in de DNS instellingen van een domeinnaam dient eerst de CAA records optie toegevoegd worden in DirectAdmin,
dit kan door het onderstaande in de /usr/local/directadmin/conf/directadmin.conf te plaatsen:
dns_caa=1
Herstart vervolgens Directadmin:
service directadmin restart
Voeg CAA DNS records toe in DirectAdmin, door naar Server Manager en vervolgens naar DNS Administration te gaan.
Hieronder een voorbeeld van een CAA record waarvan de SSL door Letsencrypt is uitgegeven:
Name | TTL | Type | Value |
@ | 5 Min. | CAA | 0 issue “letsencrypt.org” |
Mocht je ook je daarnaast ook een mail willen ontvangen als een SSL certificaat is aangevraagd door een CA wat niet in de DNS records staan dan kun je de tag iodef gebruiken. Hieronder een voorbeeld:
Name | TTL | Type | Value |
@ | 5 Min. | CAA | 0 iodef “mailto:kieseenmail@mijnblog.nl” |
Automatisch CAA DNS records toevoegen voor nieuwe domeinnamen
Om automatisch een CAA record aan te maken voor nieuwe domeinnamen, dien je de onderstaande template te copieeren en vervolgens de onderstaande gegevens in het bestand te zetten:
# cd /usr/local/directadmin/data/templates
# cp dns_caa.conf custom
# cd custom
# echo '|*if DNS_CAA="yes"|' >> dns_caa.conf
# echo '|DOMAIN|.=0 issuewild "letsencrypt.org"' >> dns_caa.conf
# echo '|DOMAIN|.=0 issue "letsencrypt.org"' >> dns_caa.conf
# echo '|*endif|' >> dns_caa.conf
Als je ipv lets encrypt gebruik maakt van een andere leverancier dan dien je letsencrypt.org te veranderen naar de juiste leverancier van je SSL certificaat.
Om de wijzigingen actief te maken dien je de DirectAdmin service te herstarten
# service directadmin restart
RFC6844 – DNS Certification Authority Authorization (CAA) Resource Record