Internet und Hostinglösungen
  • Werbung
  • Schlagwörter

Bind9 TLSA-Record für SSL-Zertifikat erstellen

Vorwort


Der TLSA-Record (RFC 6698) speichert entweder ein kryptologischen Hash eines Zertifikat oder direkt das X.509-Zertifikat im DNS. Die sichere Benutzung von DANE setzt vorraus, dass die DNS-Zone mit dem TLSA-Record per DNSSEC signiert ist.

Voraussetzung


Bind9 DNS-Server mit DNSSEC gesichert
SSL Zertifikat (crt Datei)

Konfiguration


Der folgende OpenSSL-Befehl erzeugt den SHA2-256 Hash des Zertifikats:
openssl x509 -in 4b42.crt -outform DER|openssl sha256
(stdin)= 70701f78b39e1052849024d4e73fb6f19c57f327152fbfea3e90592026511bf9

Erstellen Sie nun einen TLSA Eintrag für Ihre Domain, dieser kann bei den 4b42 Nameservern wie folgt hinterlegt werden:
4b42Hier ein Auszug der Zonendatei:
_443._tcp.www 86400	IN	TLSA	3 0 1	70701f78b39e1052849024d4e73fb6f19c57f327152fbfea3e90592026511bf9


Funktionskontrolle


Pürfen Sie, ob die TLSA Einträge erfolgreich von den Nameservern übernommen wurden:
dig +noall +answer +multi _443._tcp.www.4b42.com. TLSA
_443._tcp.www.4b42.com. 21599 IN TLSA 3 0 1 (70701F78B39E1052849024D4E73FB6F19C57F327152FBFEA3E90592026511BF9 )
Prüfen Sie nun ob die Zone durch DNSSEC gesichert ist:
dig +dnssec +noall +answer +multi _443._tcp.www.4b42.com. TLSA
_443._tcp.www.4b42.com. 21599 IN TLSA 3 0 1 (
70701F78B39E1052849024D4E73FB6F19C57F327152F
BFEA3E90592026511BF9 )
_443._tcp.www.4b42.com. 21599 IN RRSIG TLSA 5 5 86400 (
20150627110759 20150530110759 1491 4b42.com.
tblin02Z0otNlncq6UOks3Hs22dK6GfBmK09QyGiYO96
owZcno7h7fBfqV8LLdgI4CWVmuC4jPZoJKlqT8EFX5O0
gnfZaPXGDwGHysUS7gNL2o4oKb1Y2nSCtnPVBPxjGXYj
3KsPwcuIUryRQBxD8FhNi99O7oRGW3CB3leHf2JZ/qTW
Xqt4G0Mu9I/QWXbOY+/I2k3pvOhsu7XHbh8SBnO1NvlC
5LirSDUPHN/IU476AzeCqL8VsUl9W4zaq4NTzgvzJ75Z
GYwc24fa8djDobXGTDJcfngM2WKYIe6zo/zPNgb8R7Y3
oJe+09FAz/KTRky9B3PO7+GonLdDHPpV0Q== )