Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:dfnpki:faq:caa [2018/06/01 12:16] Heike Ausserfeldde:dfnpki:faq:caa [2018/06/01 13:00] Heike Ausserfeld
Zeile 10: Zeile 10:
 Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog: Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog:
  
-https://blog.pki.dfn.de/2017/03/rfc-6844-certification-authority-authorization-caa/ +https://blog.pki.dfn.de/2017/03/rfc-6844-certification-authority-authorization-caa/\\
 https://blog.pki.dfn.de/2017/09/caa-rrs-reihenfolge-im-dns/ https://blog.pki.dfn.de/2017/09/caa-rrs-reihenfolge-im-dns/
  
Zeile 45: Zeile 44:
 „dfn.de” wird ebenfalls akzeptiert. „dfn.de” wird ebenfalls akzeptiert.
  
-6. Wie werden DNS-Server konkret konfiguriert?+===6. Wie werden DNS-Server konkret konfiguriert?===
  
 Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden: Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden:
  
-hs-musterstadt.de. IN CAA 0 issue "pki.dfn.de"+  hs-musterstadt.de. IN CAA 0 issue "pki.dfn.de"
  
 Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden: Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden:
  
-hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465+  hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465
  
 Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden: Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden:
  
-Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData +  Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData 
-00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de +  00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de 
-7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet?+   
 +===7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet?===
  
 CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden. CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden.