PDF《云解析服务》

云解析服务 最佳实践 文档版本

03 发布日期 2019-06-10 华为技术有限公司 版权所有 ? 华为技术有限公司 2019.

保留一切权利. 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播. 商标声明 和其他华为商标均为华为技术有限公司的商标. 本文档提及的其他所有商标或注册商标,由各自的所有人拥有. 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内.除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声 明或保证. 由于产品版本升级或其他原因,本文档内容会不定期进行更新.除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保. 华为技术有限公司 地址: 深圳市龙岗区坂田华为总部办公楼 邮编:518129

网址: http://www.huawei.com 客户服务

邮箱: support@huawei.com 客户服务

电话:

4008302118 文档版本

03 (2019-06-10) 版权所有 ? 华为技术有限公司 i 目录1设置 CAA 记录防止错误颁发 HTTPS 证书.1

2 为云服务器配置内网域名.4

3 将域名迁移至华为云 DNS 进行解析.11 云解析服务 最佳实践 目录文档版本

03 (2019-06-10) 版权所有 ? 华为技术有限公司 ii 1设置 CAA 记录防止错误颁发 HTTPS 证书 CAA(Certification Authority Authorization,证书颁发机构授权)是一项防止HTTPS证 书错误颁发的安全措施,遵从IETF RFC6844.从2017年9月8日起,要求CA (Certification Authority,证书颁发)机构执行CAA强制性检查. 公有云的云解析服务支持为公网域名设置CAA记录,您可以通过在管理控制台为域名 添加CAA解析记录. 背景 全球约有上百个CA机构有权发放HTTPS证书,证明您网站的身份.假如浏览器将某个 CA机构列入黑名单,并宣称不再信任其颁发的HTTPS证书,当您访问到部署了这些 HTTPS证书的网站时,会被提示HTTPS证书不受信任,如图1-1所示. 图1-1 HTTPS 证书错误颁发 CAA标准要求CA机构在为域名签发证书时执行CAA强制性检查: l 如果检查域名的DNS解析记录,发现未设置CAA字段,则为该域名颁发证书. 这种情况下,任何CA机构均可为该域名签发证书,存在HTTPS证书错误颁发的风 险. l 如果检查域名的DNS解析记录,在CAA字段发现获得授权,则为该域名颁发证 书. 云解析服务 最佳实践

1 设置 CAA 记录防止错误颁发 HTTPS 证书 文档版本

03 (2019-06-10) 版权所有 ? 华为技术有限公司

1 l 如果检查域名的DNS解析记录,在CAA字段发现未获得授权,则拒绝为该域名颁 发证书,防止未授权HTTPS证书错误颁发. 为网站的域名添加CAA解析记录可以使网站将指定CA机构列入白名单,仅授权指定 CA机构为网站的域名颁发证书,提高网络的安全性. 配置原则 CAA记录集的格式为:[flag] [tag] [value],由一个标志字节的[flag]和一个[tag]-[value] (标签-值)对组成. 配置原则: l flag:认证机构限制标志,定义为0~255无符号整型.常用取值为0. l tag:仅支持大小写字母和数字0~9,长度1~15,常用取值: C issue:授权任何类型的域名证书 C issuewild:授权通配符域名证书 C iodef:指定违规申请证书通知策略 l value:域名或用于违规通知的电子邮箱或Web地址.其值取决于[tag]的值,必须 加双引号.取值范围:字符串(仅包含字母、数字、空格、 %),最长255字符. 不同应用场景下,设置CAA记录集的规则如表1-1所示. 表1-1 CAA 记录配置规则 目的 样例 描述 设置单域名 CAA记录 domain.com. CAA

0 issue ca.example.com 该字段表示只有ca.example.com可以为 域名domain.com颁发证书,未经授权 的第三方CA机构申请域名domain.com 的HTTP证书将被拒绝. domain.com. CAA

0 issue ;

该字段表示拒绝任何CA机构为域名 domain.com颁发证书. 设置发送警 报通知 domain.com. CAA

0 iodef mailto:admin@domain.com 该字段用于当第三方尝试为一个未获 得授权的域名申请证书时,通知CA机 构向网站所有者发送警报邮件. domain.com. CAA

0 iodef http:// domain.com/log/ domain.com. CAA

0 iodef https:// domain.com/log/ 该字段用于记录尝试在其他CA申请 HTTPS证书的行为. 设置颁发通 配符域名证 书domain.com. CAA

0 issuewild ca.example.com 该字段用于将通配符证书的颁发权限 指定CA机构ca.example.com. 云解析服务 最佳实践

1 设置 CAA 记录防止错误颁发 HTTPS 证书 文档版本

03 (2019-06-10) 版权所有 ? 华为技术有限公司

2 目的 样例 描述 综合配置样 例domain.com. CAA

0 issue ca.abc.com domain.com. CAA

0 issuewild ca.def.com domain.com. CAA

0 iodef mailto:admin@domain.com 该字段表示域名domain.com: l 授权CA机构ca.abc.com颁发不限类 型的证书. l 授权CA机构ca.def.com颁发通配符 证书. l 禁止其他CA机构颁发证书. l 当有违反设置规则的情况发生,CA 机构发送通知邮件到 admin@domain.com. 添加 CAA 记录集 1. 登录管理控制台. 2. 选择 网络 >

云解析服务 . 进入云解析服务页面. 3. 在左侧树状导航栏,选择 域名解析 >

公网域名 . 进入 公网域名 页面. 4. 在 公网域名 页面的域名列表中,单击待添加CAA记录集的域名domain.com. 系统进入domain.com的域名解析记录页面. 5. 单击 添加记录集 . 系统进入 添加记录集 页面. 6. 设置CAA记录集的参数. C 类型:CAA C CA证书颁发机构授权校验 C 线路类型:全网默认 C TTL:5分钟 C 值: domain.com. CAA

0 issue ca.abc.com domain.com. CAA

0 iodef mailto:admin@domain.com 7. 单击 确定 ,完成CAA类型记录集的添加. 验证 CAA 解析记录是否生效? CAA解析记录可以通过dig+trace命令查看域名是否生效以及具体的解析过程. 命令格式为:dig [类型] [域名] +trace. 示例如下: dig caa www.example.com +trace 说明 如果操作系统没有自带dig命令,需要手动安装后才能使用. 云解析服务 最佳实践

1 设置 CAA 记录防止错误颁发 HTTPS 证书 文档版本

03 (2019-06-10) 版权所有 ? 华为技术有限公司

3 2为云服务器配置内网域名 背景 内网域名是指仅在VPC内生效的虚拟域名,无需购买和注册,无需备案.云解析服务 提供的内网域名功能,可以让您在VPC中拥有权威DNS,且不会将您的DNS记录暴露 给互联网,解析性能更高,时延更低,并且可以防护解析劫持.我们可以将VPC内承 担内网域名解析功能的DNS称为内网DNS. 内网域名功能支持为VPC内每个云服务器创建一个内网域名,实现: l 通过内网域名访问VPC内的云服务器,无需经过Internet,访问速度更快、安全性 更高. l 在代码中使用内网域名代替内网IP.当需要进行云服务器切换时,只需通过修改 内网域名解析记录即可,无需修改代码. 操作场景 云解析服务作为内网DNS的典型应用场景如图2-1所示. 图2-1 逻辑组网图 图2-1展示了某网站的逻辑组网,在一个VPC内,部署了ECS和RDS.其中: 云解析服务 最佳实践

2 为云服务器配置内网域名 文档版本

03 (2019-06-10) 版权所有 ? 华为技术有限公司

4 l ECS:作为主业务站点和业务入口. ........