Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:dfnpki:faq:caa [2018/06/01 12:16] – Heike Ausserfeld | de:dfnpki:faq:caa [2018/06/01 13:00] – Heike Ausserfeld | ||
---|---|---|---|
Zeile 10: | Zeile 10: | ||
Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog: | Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog: | ||
- | https:// | + | https:// |
https:// | https:// | ||
Zeile 45: | Zeile 44: | ||
„dfn.de” wird ebenfalls akzeptiert. | „dfn.de” wird ebenfalls akzeptiert. | ||
- | 6. Wie werden DNS-Server konkret konfiguriert? | + | ===6. Wie werden DNS-Server konkret konfiguriert? |
Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden: | Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden: | ||
- | hs-musterstadt.de. IN CAA 0 issue " | + | |
Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden: | Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden: | ||
- | hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465 | + | |
Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden: | Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden: | ||
- | Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData | + | |
- | 00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de | + | 00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de |
- | 7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet? | + | |
+ | ===7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet? | ||
CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden. | CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden. |