Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:dfnpki:faq:caa [2018/06/01 12:12] – Heike Ausserfeld | de:dfnpki:faq:caa [2018/06/01 13:00] – Heike Ausserfeld | ||
---|---|---|---|
Zeile 9: | Zeile 9: | ||
Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog: | Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog: | ||
- | https:// | + | |
+ | https:// | ||
https:// | https:// | ||
Zeile 22: | Zeile 23: | ||
Ein Beispiel-Eintrag für die DFN-PKI: | Ein Beispiel-Eintrag für die DFN-PKI: | ||
- | <file>$ORIGIN hs-musterstadt.de | + | <code>$ORIGIN hs-musterstadt.de |
- | . CAA 0 issue " | + | . CAA 0 issue " |
- | 3. Können mehrere PKIs mit CAA authorisiert werden? | + | |
+ | ===3. Können mehrere PKIs mit CAA authorisiert werden?=== | ||
Ja. Die issue- oder issuewild-Properties können mehrfach angegeben werden. | Ja. Die issue- oder issuewild-Properties können mehrfach angegeben werden. | ||
- | 4. Wie werden CAA RRs im DNS gesucht? | + | |
+ | ===4. Wie werden CAA RRs im DNS gesucht?=== | ||
Bei der Prüfung von CAA RRs suchen PKIs im DNS von links nach rechts nach CAA RRs. Sub-Domains können also die CAA-Policy der übergeordneten Domain überschreiben. | Bei der Prüfung von CAA RRs suchen PKIs im DNS von links nach rechts nach CAA RRs. Sub-Domains können also die CAA-Policy der übergeordneten Domain überschreiben. | ||
Siehe hierzu auch https:// | Siehe hierzu auch https:// | ||
- | 5. Was sind gültige Werte für die DFN-PKI? | + | |
+ | ===5. Was sind gültige Werte für die DFN-PKI?=== | ||
Für die DFN-PKI ist folgender Wert zu setzen: | Für die DFN-PKI ist folgender Wert zu setzen: | ||
- | . CAA 0 issue " | + | |
„dfn.de” wird ebenfalls akzeptiert. | „dfn.de” wird ebenfalls akzeptiert. | ||
- | 6. Wie werden DNS-Server konkret konfiguriert? | + | |
+ | ===6. Wie werden DNS-Server konkret konfiguriert? | ||
Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden: | Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden: | ||
- | hs-musterstadt.de. IN CAA 0 issue " | + | |
Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden: | Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden: | ||
- | hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465 | + | |
Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden: | Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden: | ||
- | Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData | + | |
- | 00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de | + | 00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de |
- | 7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet? | + | |
+ | ===7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet? | ||
CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden. | CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden. |