Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:dfnpki:faq:caa [2018/06/01 12:14] – Heike Ausserfeld | de:dfnpki:faq:caa [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ~~NOTOC~~ | ||
- | ===== Fragen und Antworten zu CAA RRs ===== | ||
- | {{INLINETOC 3-4}} | ||
- | |||
- | ===1. Was ist CAA?=== | ||
- | |||
- | CAA (RFC 6844, Certification Authority Authorization) ist ein Mechanismus, | ||
- | |||
- | Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog: | ||
- | https:// | ||
- | https:// | ||
- | |||
- | ===2. Wie sehen CAA RRs aus?=== | ||
- | |||
- | CAA definiert drei Properties: | ||
- | |||
- | * issue enthält als Wert die Domain der PKI, die für die Domain, in der die CAA RRs definiert sind, Zertifikate ausstellen darf. | ||
- | * issuewild wird wie issue gesetzt, wird aber für Wildcard-Zertifikate ausgewertet. Ist kein issuewild gesetzt, wird auch für Wildcard-Zertifikate issue ausgewertet | ||
- | * iodef spezifiziert Kontaktadressen des Domain-Inhabers, | ||
- | |||
- | Ein Beispiel-Eintrag für die DFN-PKI: | ||
- | |||
- | < | ||
- | . CAA 0 issue " | ||
- | |||
- | ===3. Können mehrere PKIs mit CAA authorisiert werden?=== | ||
- | |||
- | Ja. Die issue- oder issuewild-Properties können mehrfach angegeben werden. | ||
- | |||
- | ===4. Wie werden CAA RRs im DNS gesucht?=== | ||
- | |||
- | Bei der Prüfung von CAA RRs suchen PKIs im DNS von links nach rechts nach CAA RRs. Sub-Domains können also die CAA-Policy der übergeordneten Domain überschreiben. | ||
- | |||
- | Siehe hierzu auch https:// | ||
- | |||
- | ===5. Was sind gültige Werte für die DFN-PKI?=== | ||
- | |||
- | Für die DFN-PKI ist folgender Wert zu setzen: | ||
- | |||
- | . CAA 0 issue " | ||
- | |||
- | „dfn.de” wird ebenfalls akzeptiert. | ||
- | |||
- | 6. Wie werden DNS-Server konkret konfiguriert? | ||
- | |||
- | Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden: | ||
- | |||
- | hs-musterstadt.de. IN CAA 0 issue " | ||
- | |||
- | Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden: | ||
- | |||
- | hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465 | ||
- | |||
- | Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden: | ||
- | |||
- | Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData | ||
- | 00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de | ||
- | 7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet? | ||
- | |||
- | CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden. |