ConoHa WING と Cloudflare を利用している環境(つまり、このWebサイトの環境ですね)でオプション独自SSLを使用する場合の注意点です。
Cloudflare の DNS サーバーを利用している場合、下記 CAA レコードが自動的に付加されるようになっています。
;; QUESTION SECTION:
;h3z.jp. IN CAA
;; ANSWER SECTION:
h3z.jp. 3600 IN CAA 0 issue "comodoca.com"
h3z.jp. 3600 IN CAA 0 issue "letsencrypt.org"
h3z.jp. 3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
h3z.jp. 3600 IN CAA 0 issue "pki.goog; cansignhttpexchanges=yes"
h3z.jp. 3600 IN CAA 0 issuewild "comodoca.com"
h3z.jp. 3600 IN CAA 0 issuewild "letsencrypt.org"
h3z.jp. 3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes"
h3z.jp. 3600 IN CAA 0 issuewild "pki.goog; cansignhttpexchanges=yes"
無料独自SSLの場合は Let's Encrypt を利用するため問題ありませんが、オプション独自SSLの場合は GlobalSign が利用されるため、このままでは認証エラーで証明書の発行ができません。
特に、最近新登場の「アルファSSL」を適切な対処をせずに申し込んだ場合、「認証エラー お問い合わせ」と表示されてしまい、サポートへ問い合わせて申し込みをキャンセルしてもらわないと、SSLの設定変更ができなくなります。
Cloudflare の DNS サーバーを利用している環境で ConoHa WING のオプション独自SSLを申し込もうと考えている方は、下記の設定を必ず実施するようにして下さい。
- 特定のホスト名のみ許可:globalsign.com
- ワイルドカードのみ許可:globalsign.com
※まあ、Cloudflare が CAA レコードを勝手に追加するくせに、UI 上で非表示にしていて分かりづらくなっているのが原因なんですけどね
