操作场景

操作目的

本文将指导您解决当您的网站使用 Github 静态托管时导致腾讯云免费证书无法签发的问题。

问题背景

  1. 自2022年03月03日22:00:00起,TrustAsia 根证书签发由 Digicert 根证书变更为 Sectigo 根证书。
  2. 用户使用 Github 静态托管时通常会将域名指向 Github 提供的CNAME记录值,如”username.github.io”。
  3. 将域名指向 Github 提供的CNAME记录值意味着该域名(子域名)所有解析记录类型(含CAA)的记录值均由”username.github.io”提供。
  4. 由于 Github 提供的CNAME记录值”username.github.io”中包含 CAA 记录(如下述示例),且改该域名 CAA 记录中不包含 Sectigo 根证书的授权,因此将导致腾讯云免费证书无法签发。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
rttw@Kincaid:~$ dig username.github.io caa

; <<>> DiG 9.19.5-1+0~20220921.84+debian11~1.gbp190ab0-Debian <<>> username.github.io caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19362
;; flags: qr rd ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;username.github.io. IN CAA

;; ANSWER SECTION:
username.github.io. 0 IN CAA 0 issue "letsencrypt.org"
username.github.io. 0 IN CAA 0 issuewild "digicert.com"
username.github.io. 0 IN CAA 0 issue "digicert.com"

;; Query time: 90 msec
;; SERVER: 172.17.128.1#53(172.17.128.1) (UDP)
;; WHEN: Thu Oct 06 16:28:14 CST 2022
;; MSG SIZE rcvd: 154
  1. 域名所有者通过设置 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书,同时 CA 机构根据规范要求,在颁发 SSL 证书时会强制性检查域名 CAA 记录,如果检查发现未获得授权,将拒绝为该域名颁发 SSL 证书,从而防止未授权的 SSL 证书错误颁发,规避安全风险。

操作步骤

  1. 登录 DNSPod解析控制台,找到并单击申请证书的域名。
    解析控制台

  2. 找到指向 Github 的 CNAME 记录,单击右侧的暂停按钮并暂停解析。

    说明:

    1. 仅需要暂停当前申请证书域名及主域名上指向 Github静态托管 的 CNAME 记录,其他指向记录不需要暂停。(例如我为”blogs.dnstest.cc”申请证书,那我仅需暂停主机记录为”@”和”blogs”的指向 Github静态托管 的 CNAME 记录,其他指向记录不需要暂停。)
    2. 若您为主域名申请证书,请暂停主机记录为”www”和”@”的指向 Github静态托管 的 CNAME 记录,其他指向记录不需要暂停。
    3. 仅需要暂停指向 Github静态托管 的 CNAME 记录,其他记录不需要暂停。

暂停解析

  1. 单击添加记录添加A记录&AAAA记录指向 Github 静态托管的 IP 地址,以避免影响站点正常访问。

    说明:

    1. 暂停哪些主机记录就为哪些主机记录添加 A 记录 & AAAA 记录,其他主机记录不需要添加。
    2. Github 静态托管的 IP 地址为:
      IPv4 IPv6(可选)
      185.199.108.153 2606:50c0:8000::153
      185.199.109.153 2606:50c0:8001::153
      185.199.110.153 2606:50c0:8002::153
      185.199.111.153 2606:50c0:8003::153
    3. 任选一个 IP 地址添加即可,不需要添加所有 IP 地址:

添加记录

  1. 待证书签发后删除添加的 A 记录 & AAAA 记录,单击已暂停的 CNAME 记录右侧的开启按钮恢复原有解析。