DNSサーバへのCAAレコード登録方法

最終更新:2024年11月29日

本登録作業が必要となるお客様

以下のいずれかに該当する場合、本登録作業が必要となります。

  • 弊社SSLサーバ証明書もしくは、マネージドPKI Lite byGMO(S/MIME用途)の発行をご希望で、対象のドメインのDNSサーバのCAAレコードに他社認証局のみが登録されている場合
  • 対象のドメインに対して証明書を発行可能な認証局をグローバルサインに限定したい場合

※CAAレコードの登録は必ず行わなければならないものではございません。
※CAAレコードに認証局の指定をしていない場合は、どの認証局からも発行が可能です。

証明書の申請及び発行時に、CAAのチェックプロセスが発生します。

SSLサーバ証明書

認証タイプによって異なります。下記の表をご確認ください。

認証タイプ CAAチェックが発生するタイミング
クイック認証SSL ドメイン認証時
企業認証SSL・EV SSL ドメイン認証時・証明書発行時
SSLマネージドサービス
(企業認証SSL/EV SSL)
証明書発行時

マネージドPKI Lite byGMO(S/MIME用途)

発行方法によって異なります。下記の表をご確認ください。

発行方法 CAAチェックが発生するタイミング
証明書発行 証明書申請時の証明書情報入力後、「次へ」ボタンを押下時
証明書発行(一括)
証明書発行(管理者一括)
証明書申請時のCSVファイル指定後、編集画面から「次へ」ボタンを押下時

CAAレコードの登録の有無にかかわらず、DNSサーバが「Fail」のレスポンスを返す場合は、【servfail dns response】となり、証明書の発行ができません。事前にDNSサーバの設定を確認してください。詳細はこちら

※本ページでは登録方法の一例をご紹介します。詳しい登録方法に関しましては、お使いのDNSサーバアプリケーションのドキュメント等をご確認ください。
※レンタルサーバなどホスティングサービスをご利用の場合は、ホスティング業者様にご確認ください。

ゾーンファイル設定例

SSLサーバ証明書を利用する場合

CAAレコードの登録方法は、お使いのDNSサーバアプリケーションの種類やバージョンによって異なります。下記を参考に、ゾーンファイルに設定してください。

DNSサーバ/アプリケーション :
BIND(バージョン9.9.6以降)
Knot DNS(バージョン2.2.0以降)
NSD(バージョン4.0.1以降)
PowerDNS(バージョン4.0.0以降)

エントリー例:
example.com.   CAA  0 issue "globalsign.com"

DNSサーバ/アプリケーション :
BIND(バージョン9.9.6未満)
NSD(バージョン4.0.1未満)

エントリー例:
example.com. IN TYPE257 \# 21 00056973737565676C6F62616C7369676E2E636F6D

DNSサーバ/アプリケーション :
Google Cloud DNS
DNSimple

エントリー例:
0 issue "globalsign.com"

マネージドPKI Lite byGMO(S/MIME用途)を利用する場合

CAAレコードの登録方法は、お使いのDNSサーバアプリケーションの種類やバージョンによって異なります。下記を参考に、ゾーンファイルに設定してください。

DNSサーバ/アプリケーション :
BIND(バージョン9.9.6以降)
Knot DNS(バージョン2.2.0以降)
NSD(バージョン4.0.1以降)
PowerDNS(バージョン4.0.0以降)

エントリー例:
mail.client.example.   CAA  0 issuemail "globalsign.com"

DNSサーバ/アプリケーション :
Google Cloud DNS
DNSimple

エントリー例:
0 issuemail "globalsign.com"