Detail: DNS problem: SERVFAIL looking up CAA

Veuillez remplir les champs ci-dessous pour que nous puissions vous aider. Remarque : vous devez fournir votre nom de domaine pour obtenir de l’aide. Les noms de domaine des certificats émis sont tous rendus publics dans les journaux de Transparence de Certificat (par exemple, https://crt.sh/?q=example.com). Par conséquent, le fait de ne pas indiquer votre nom de domaine ici n’aide pas à le garder secret, mais rend plus difficile pour nous le fait de vous aider.

Je peux lire des réponses en Anglais :
Oui
Mon nom de domaine est :
rec7.essec.fr
J’ai exécuté cette commande :
certbot --apache
Elle a produit cette sortie :
Detail: DNS problem: SERVFAIL looking up CAA
Mon serveur Web est (inclure la version) :
rec7moodle.essec.fr
Le système d’exploitation sur lequel mon serveur Web s’exécute est (version incluse) :
centos
Mon hébergeur, le cas échéant, est :

Je peux me connecter à un shell root sur ma machine (oui ou non, ou je ne sais pas) :
oui
J’utilise un panneau de configuration pour gérer mon site (non, ou fournit le nom et la version du panneau de configuration) :

Bonjour,
je souhaite créer un certificat pour un de mes serveur rec7moodle.essec.fr
Au niveau DNS, rec7moodle.essec.fr est un CNAME de rec7moodle.rec7.essec.fr
Le domaine rec7moodle.rec7.essec.fr est en délégation à nos F5 bigIP pour profiter de la haute dispo FAI.
J'ai bien ajouté les enregistrements CAA dans le domaine rec7.essec.fr ainsi que sur essec.fr, mais je n'arive pas à créer un certificat, j'ai toujours le même message d'erreur.
Pouvez vous me dire ce qui ne va pas ?
Merci pour votre aide

Hi @ISI

that configuration looks buggy, see https://check-your-website.server-daten.de/?q=rec7moodle.essec.fr

rec7moodle.essec.fr has own name servers - vip-lc-level3.essec.fr and vip-lc-renater.essec.fr.

But checking these name servers there are Refused answers.

:~$ dig CAA rec7moodle.rec7.essec.fr. @vip-lc-level3.essec.fr

; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> CAA rec7moodle.rec7.essec.fr. @vip-lc-level3.essec.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 45467
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;rec7moodle.rec7.essec.fr. IN CAA

;; Query time: 32 msec
;; SERVER: 212.73.197.254#53(212.73.197.254)
;; WHEN: Mon Sep 28 14:00:52 CEST 2020
;; MSG SIZE rcvd: 53

Looks like you have a delegation, but that delegation isn't configured.

Refused -> CAA no valid answer -> Letsencrypt can't create a certificate.

Hi,
Thanks for your reply. The problem is VIP-LC-RENATER or VIP-LC-LEVEL3 are a public IP of my big-ip link controler. I can't create a CAA record in the big-ip. I don't understand why letsencrypt don't see the main domain essec.fr ?
Essec.fr is an autoritative zone manage by our infoblox.
rec7.essec.fr is also autoritative zone and rec7moodle.rec7.essec.fr is delegation zone with NS are the 2 big-ip adresses.
Thanks for your help.

You have defined these domain names as name servers. That's the error.

A missing CAA isn't a problem. A refused answer is a Servfail.