Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
de:dfnpki:faq:caa [2018/06/01 12:17]
Heike Ausserfeld
de:dfnpki:faq:caa [2018/06/01 13:00] (aktuell)
Heike Ausserfeld
Zeile 44: Zeile 44:
 „dfn.de” wird ebenfalls akzeptiert. „dfn.de” wird ebenfalls akzeptiert.
  
-6. Wie werden DNS-Server konkret konfiguriert?​+===6. Wie werden DNS-Server konkret konfiguriert?​===
  
 Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden: Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden:
  
-hs-musterstadt.de. IN CAA 0 issue "​pki.dfn.de"​+  ​hs-musterstadt.de. IN CAA 0 issue "​pki.dfn.de"​
  
 Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden: Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden:
  
-hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465+  ​hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465
  
 Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden: Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden:
  
-Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData +  ​Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData 
-00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de +  00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de 
-7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet?​+   
 +===7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet?​===
  
 CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden. CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden.
  • Zuletzt geändert: vor 14 Monaten