Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
| de:dfnpki:faq:caa [2018/06/01 12:15] – Heike Ausserfeld | de:dfnpki:faq:caa [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1 | ||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| - | ~~NOTOC~~ | ||
| - | ===== Fragen und Antworten zu CAA RRs ===== | ||
| - | {{INLINETOC 3-4}} | ||
| - | |||
| - | ===1. Was ist CAA?=== | ||
| - | |||
| - | CAA (RFC 6844, Certification Authority Authorization) ist ein Mechanismus, | ||
| - | |||
| - | Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog: | ||
| - | |||
| - | https:// | ||
| - | https:// | ||
| - | |||
| - | ===2. Wie sehen CAA RRs aus?=== | ||
| - | |||
| - | CAA definiert drei Properties: | ||
| - | |||
| - | * issue enthält als Wert die Domain der PKI, die für die Domain, in der die CAA RRs definiert sind, Zertifikate ausstellen darf. | ||
| - | * issuewild wird wie issue gesetzt, wird aber für Wildcard-Zertifikate ausgewertet. Ist kein issuewild gesetzt, wird auch für Wildcard-Zertifikate issue ausgewertet | ||
| - | * iodef spezifiziert Kontaktadressen des Domain-Inhabers, | ||
| - | |||
| - | Ein Beispiel-Eintrag für die DFN-PKI: | ||
| - | |||
| - | < | ||
| - | . CAA 0 issue " | ||
| - | |||
| - | ===3. Können mehrere PKIs mit CAA authorisiert werden?=== | ||
| - | |||
| - | Ja. Die issue- oder issuewild-Properties können mehrfach angegeben werden. | ||
| - | |||
| - | ===4. Wie werden CAA RRs im DNS gesucht?=== | ||
| - | |||
| - | Bei der Prüfung von CAA RRs suchen PKIs im DNS von links nach rechts nach CAA RRs. Sub-Domains können also die CAA-Policy der übergeordneten Domain überschreiben. | ||
| - | |||
| - | Siehe hierzu auch https:// | ||
| - | |||
| - | ===5. Was sind gültige Werte für die DFN-PKI?=== | ||
| - | |||
| - | Für die DFN-PKI ist folgender Wert zu setzen: | ||
| - | |||
| - | . CAA 0 issue " | ||
| - | |||
| - | „dfn.de” wird ebenfalls akzeptiert. | ||
| - | |||
| - | 6. Wie werden DNS-Server konkret konfiguriert? | ||
| - | |||
| - | Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden: | ||
| - | |||
| - | hs-musterstadt.de. IN CAA 0 issue " | ||
| - | |||
| - | Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden: | ||
| - | |||
| - | hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465 | ||
| - | |||
| - | Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden: | ||
| - | |||
| - | Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData | ||
| - | 00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de | ||
| - | 7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet? | ||
| - | |||
| - | CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden. | ||