CAA-Records mit ISPConfig


Voraussetzungen: ISPConfig >= 3.1 und Bind DNS-Server

Installation:
cd /tmp
wget https://www.schaal-it.com/downloads/caa-patch.tgz
tar xfz caa-patch.tgz
cd caa-patch
php -q install.php

In einem Multiserver-Setup muss die Installation auf jedem Server erfolgen.

Was sind CAA-Records?
Über CAA kann festgelegt werden, welche Zertifizierungsstelle für die Domain Zertifikate ausstellen darf. Dazu wird im DNS ein CAA-Eintrag veröffentlicht, den die Zertifizierungsstelle vor Ausstellung eines Zertifikates überprüft. Wenn kein CAA-Record vorhanden ist, kann jede Zertifizierungsstelle ein Zertifikat ausstellen.

Beispiel 1:
example.de CAA cert.net
Für die Domain example.de (und alle Hostnamen) darf nur die Zertifizierungsstelle cert.net Zertifkate erstellen.

Beispiel 2:
example.de CAA cert.net
www.example.de CAA cert-www.net
Für die Domain example.de (und alle Hostnamen bis auf www) darf nur die Zertifizierungsstelle cert.net Zertifkate erstellen. Für www.example.de dürfen Zertifikate nur von cert-www.net erstellt werden.

Beispiel 3
example.de CAA cert.net account=4711

Wie werden Zertifizierungsstellen verwaltet?
Unter System / Systemkonfiguration / Einstellungen werden die vorhandenen Zertifizierungsstellen im Tab “DNS CAAs” verwaltet.
de-system-config

Bei jeder Zertifizierungsstelle sind verschiedene Einstellungen möglich:
de-system-config-caa
Name: (interner) Name der Zertifizierungsstelle
Issue: von der Zertifizierungsstelle vorgegebene URL
Wildcard: Ob die Zertifizierungsstelle Wildcard-Zertifikate erstellen darf

Eintragen von CAA-Records im DNS:
de-dns caa
zusätzliche Hostnamen: wenn der CAA-Eintrag nicht für die ganze Domain (Beispiel 2) gelten soll, können verschiedene Hostnamen (www, cloud etc.) angegeben werden.
zusätzliche Angaben: wenn die Zertifizierungsstelle zusätzliche Einträge vorgibt (Beispiel 3), werden diese hier hinterlegt. Das Format ist immer FELD=WERT; mehrere Einträge werden durch Komma getrennt.

Wenn eine Webseite mit einem Zertifikat von Let’s Encrypt angelegt wird, wird der entsprechende CAA-Eintrag im DNS automatisch hinterlegt.

Kommentar erstellen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *