Certification Authority Authorization CAA – Kurzanleitung

Veröffentlichung 4. Juli 2018 @ 23:10
Letzte Änderung 29. August 2018 @ 11:00

Überblick

  • Zertifikatsausstellung ausschließlich durch in DNS-Record CAA gelistete Certification Authorities (CA)
  • seit September 2017 für alle CA verpflichtend

Voraussetzungen

Netzwerk

  • Domain / Zone example.com
  • E-Mail Zonenadministrator hostmaster@example.com
  • Let’s-Encrypt-Zertifikat und -Wildcard-Zertifikat für example.com

Software

  • Bind 9.10.3 #named -v
  • Ubuntu Server 16.04.04 LTS #lsb_release -a

Ordner und Dateien

  • Installation /var/lib/bind
  • Konfiguration /var/lib/bind/caa.example.com, /var/lib/bind/db.example.com
  • systemd /lib/systemd/system/bind9.service

Datei mit CAA-Records für example.com in Zonendatei-Verzeichnis erstellen

example.com. CAA 0 issue "letsencrypt.org" ; Zertifikatsausstellung nur durch CA Let's Encrypt
example.com. CAA 0 issuewild "letsencrypt.org" ; Wildcard-Zertifikatsausstellung nur durch CA Let's Encrypt
example.com. CAA 0 iodef "mailto:hostmaster@example.com" ; E-Mail an Zonenadministrator bei ungültigen Zertifikatsanfragen 

Forward-Lookup-Zonendatei für example.com ergänzen

...
$INCLUDE /var/lib/bind/caa.example.com

Bind neustarten und Status abfragen

systemctl restart bind9
journalctl --unit bind9.service
systemctl status bind9.service

Quellen

https://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/
https://www.ssl.com/article/certification-authority-authorization-caa/

Schreibe einen Kommentar