Veröffentlichung 4. Juli 2018 @ 23:10
Letzte Änderung 4. Juli 2018 @ 23:10
Überblick
- Zertifikatsausstellung ausschließlich durch in DNS-Record CAA gelistete Certification Authorities (CA)
- seit September 2017 für alle CA verpflichtend
Voraussetzungen
Netzwerk
- Domain / Zone example.com
- E-Mail Zonenadministrator hostmaster@example.com
- Let’s-Encrypt-Zertifikat und -Wildcard-Zertifikat für example.com
Software
- Bind 9.10.3 #named -v
- Ubuntu Server 16.04.04 LTS #lsb_release -a
Ordner und Dateien
- Installation /var/lib/bind
- Konfiguration /var/lib/bind/caa.example.com, /var/lib/bind/db.example.com
- systemd /lib/systemd/system/bind9.service
Datei mit CAA-Records für example.com in Zonendatei-Verzeichnis erstellen
example.com. CAA 0 issue "letsencrypt.org" ; Zertifikatsausstellung nur durch CA Let's Encrypt example.com. CAA 0 issuewild "letsencrypt.org" ; Wildcard-Zertifikatsausstellung nur durch CA Let's Encrypt example.com. CAA 0 iodef "mailto:hostmaster@example.com" ; E-Mail an Zonenadministrator bei ungültigen Zertifikatsanfragen
Forward-Lookup-Zonendatei für example.com ergänzen
... $INCLUDE /var/lib/bind/caa.example.com
Bind neustarten und Status abfragen
systemctl restart bind9 journalctl --unit bind9.service systemctl status bind9.service
Quellen
https://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/
https://www.ssl.com/article/certification-authority-authorization-caa/