Voraussetzungen: ISPConfig >= 3.1 und Bind DNS-Server
Installation:cd /tmp
wget https://www.schaal-it.com/downloads/caa-patch.tgz
tar xfz caa-patch.tgz
cd caa-patch
php -q install.php
In einem Multiserver-Setup muss die Installation auf jedem Server erfolgen.
Was sind CAA-Records?
Über CAA kann festgelegt werden, welche Zertifizierungsstelle für die Domain Zertifikate ausstellen darf. Dazu wird im DNS ein CAA-Eintrag veröffentlicht, den die Zertifizierungsstelle vor Ausstellung eines Zertifikates überprüft. Wenn kein CAA-Record vorhanden ist, kann jede Zertifizierungsstelle ein Zertifikat ausstellen.
Beispiel 1:
example.de CAA cert.net
Für die Domain example.de (und alle Hostnamen) darf nur die Zertifizierungsstelle cert.net Zertifkate erstellen.
Beispiel 2:
example.de CAA cert.net
www.example.de CAA cert-www.net
Für die Domain example.de (und alle Hostnamen bis auf www) darf nur die Zertifizierungsstelle cert.net Zertifkate erstellen. Für www.example.de dürfen Zertifikate nur von cert-www.net erstellt werden.
Beispiel 3
example.de CAA cert.net account=4711
Wie werden Zertifizierungsstellen verwaltet?
Unter System / Systemkonfiguration / Einstellungen werden die vorhandenen Zertifizierungsstellen im Tab “DNS CAAs” verwaltet.
Bei jeder Zertifizierungsstelle sind verschiedene Einstellungen möglich:
Name: (interner) Name der Zertifizierungsstelle
Issue: von der Zertifizierungsstelle vorgegebene URL
Wildcard: Ob die Zertifizierungsstelle Wildcard-Zertifikate erstellen darf
Eintragen von CAA-Records im DNS:
zusätzliche Hostnamen: wenn der CAA-Eintrag nicht für die ganze Domain (Beispiel 2) gelten soll, können verschiedene Hostnamen (www, cloud etc.) angegeben werden.
zusätzliche Angaben: wenn die Zertifizierungsstelle zusätzliche Einträge vorgibt (Beispiel 3), werden diese hier hinterlegt. Das Format ist immer FELD=WERT; mehrere Einträge werden durch Komma getrennt.
Wenn eine Webseite mit einem Zertifikat von Let’s Encrypt angelegt wird, wird der entsprechende CAA-Eintrag im DNS automatisch hinterlegt.
This post first appeared on Florian @it – Mein Persönliches IT-Blog, please read the originial post: here