关于“指向 Github 静态托管页面引起腾讯云免费证书无法签发”问题的解决方案
操作场景
操作目的
本文将指导您解决当您的网站使用 Github 静态托管时导致腾讯云免费证书无法签发的问题。
问题背景
- 自2022年03月03日22:00:00起,TrustAsia 根证书签发由 Digicert 根证书变更为 Sectigo 根证书。
- 用户使用 Github 静态托管时通常会将域名指向 Github 提供的CNAME记录值,如”username.github.io”。
- 将域名指向 Github 提供的CNAME记录值意味着该域名(子域名)所有解析记录类型(含CAA)的记录值均由”username.github.io”提供。
- 由于 Github 提供的CNAME记录值”username.github.io”中包含 CAA 记录(如下述示例),且改该域名 CAA 记录中不包含 Sectigo 根证书的授权,因此将导致腾讯云免费证书无法签发。
1 | rttw@Kincaid:~$ dig username.github.io caa |
- 域名所有者通过设置 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书,同时 CA 机构根据规范要求,在颁发 SSL 证书时会强制性检查域名 CAA 记录,如果检查发现未获得授权,将拒绝为该域名颁发 SSL 证书,从而防止未授权的 SSL 证书错误颁发,规避安全风险。
操作步骤
登录 DNSPod解析控制台,找到并单击申请证书的域名。
找到指向 Github 的 CNAME 记录,单击右侧的暂停按钮并暂停解析。
说明:
- 仅需要暂停当前申请证书域名及主域名上指向 Github静态托管 的 CNAME 记录,其他指向记录不需要暂停。(例如我为”blogs.dnstest.cc”申请证书,那我仅需暂停主机记录为”@”和”blogs”的指向 Github静态托管 的 CNAME 记录,其他指向记录不需要暂停。)
- 若您为主域名申请证书,请暂停主机记录为”www”和”@”的指向 Github静态托管 的 CNAME 记录,其他指向记录不需要暂停。
- 仅需要暂停指向 Github静态托管 的 CNAME 记录,其他记录不需要暂停。
- 单击添加记录添加A记录&AAAA记录指向 Github 静态托管的 IP 地址,以避免影响站点正常访问。
说明:
- 暂停哪些主机记录就为哪些主机记录添加 A 记录 & AAAA 记录,其他主机记录不需要添加。
- Github 静态托管的 IP 地址为:
IPv4 IPv6(可选) 185.199.108.153 2606:50c0:8000::153 185.199.109.153 2606:50c0:8001::153 185.199.110.153 2606:50c0:8002::153 185.199.111.153 2606:50c0:8003::153 - 任选一个 IP 地址添加即可,不需要添加所有 IP 地址:
- 待证书签发后删除添加的 A 记录 & AAAA 记录,单击已暂停的 CNAME 记录右侧的开启按钮恢复原有解析。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 归去如风!