Voraussetzungen: ISPConfig >= 3.1 und Bind DNS-Server
Installation:
cd /tmp
wget https://www.schaal-it.com/downloads/caa-patch.tgz
tar xfz caa-patch.tgz
cd caa-patch
php -q install.php
In einem Multiserver-Setup muss die Installation auf jedem Server erfolgen.
Was sind CAA-Records?
Über CAA kann festgelegt werden, welche Zertifizierungsstelle für die Domain Zertifikate ausstellen darf. Dazu wird im DNS ein CAA-Eintrag veröffentlicht, den die Zertifizierungsstelle vor Ausstellung eines Zertifikates überprüft. Wenn kein CAA-Record vorhanden ist, kann jede Zertifizierungsstelle ein Zertifikat ausstellen.
Beispiel 1:
example.de CAA cert.net
Für die Domain example.de (und alle Hostnamen) darf nur die Zertifizierungsstelle cert.net Zertifkate erstellen.
Beispiel 2:
example.de CAA cert.net
www.example.de CAA cert-www.net
Für die Domain example.de (und alle Hostnamen bis auf www) darf nur die Zertifizierungsstelle cert.net Zertifkate erstellen. Für www.example.de dürfen Zertifikate nur von cert-www.net erstellt werden.
Beispiel 3
example.de CAA cert.net account=4711
Wie werden Zertifizierungsstellen verwaltet?
Unter System / Systemkonfiguration / Einstellungen werden die vorhandenen Zertifizierungsstellen im Tab “DNS CAAs” verwaltet.
Bei jeder Zertifizierungsstelle sind verschiedene Einstellungen möglich:
Name: (interner) Name der Zertifizierungsstelle
Issue: von der Zertifizierungsstelle vorgegebene URL
Wildcard: Ob die Zertifizierungsstelle Wildcard-Zertifikate erstellen darf
Eintragen von CAA-Records im DNS:
zusätzliche Hostnamen: wenn der CAA-Eintrag nicht für die ganze Domain (Beispiel 2) gelten soll, können verschiedene Hostnamen (www, cloud etc.) angegeben werden.
zusätzliche Angaben: wenn die Zertifizierungsstelle zusätzliche Einträge vorgibt (Beispiel 3), werden diese hier hinterlegt. Das Format ist immer FELD=WERT; mehrere Einträge werden durch Komma getrennt.
Wenn eine Webseite mit einem Zertifikat von Let’s Encrypt angelegt wird, wird der entsprechende CAA-Eintrag im DNS automatisch hinterlegt.
Hallo Florian,
vielen Dank für die Bereitstellung.
Ich habe Deinen Modul installiert – jedoch zeigt mir ein SSL Checker immer noch an, dass die CAA fehlt.
Ich habe ein Thawte SSL123 Zertifikat.
Hast Du da noch einen Tipp für mich?
Kann leider die Bilder nicht sehen im Artikel evtl. habe ich noch einen Konfigurationsschritt vergessen…
Danke!
Pingback: Office Mobile für iOS unterstützt jetzt Drag & Drop und die Zusammenarbeit in Echtzeit - emailarchiv.ch