Record Typen und deren Nutzung
Auf dieser Seite erfahren Sie mehr über die spezifischen Record-Typen und wie diese an der RWTH genutzt werden.
CAA-Records
Ab dem 23.2.2018 werden im RWTH DNS Certification Authority Authorization (CAA) Resource Records (RR) nach RFC 6844 eingeführt.
CAA-Records bieten dem Domaininhaber die Möglichkeit, definierte Zertifizierungsstellen (CAs) dazu zu berechtigen, X.509-Zertifikate (auch als SSL-Zertifikate bekannt) für Hosts unterhalb der Domain auszustellen. CAA-Records sollen verhindern, dass Zertifikate an Unberechtigte ausgestellt werden. Voraussetzung hierfür ist, dass die Zertifizierungsstelle die CAA-Records prüft. Seit September 2017 sind Zertifizierungsstellen, die im CA/Browser-Forum teilnehmen, verpflichtet, CAA-Records bei der Erstellung des Zertifikats zu prüfen.
Was heißt dies praktisch für einen Serveradministrator?
- CAA-Records für den Hostnamen (FQDN) seines Servers im DNS setzen und prüfen.
- Zertifikatsantrag (CSR) generieren und an eine im CAA-Record definierte CA schicken.
- Insbesondere, wenn ein Zertifikat außerhalb der DFN-PKI beantragt wird, ist Schritt 1 notwendig.
Für CAA-Records innerhalb der Domains, die den RWTH-Nameservern delegiert sind, gelten folgende Regelungen:
- Die DFN-PKI ist für alle Zonen (Domains) standardmäßig erlaubt (d.h. die CAA-Records sind bereits vom RWTH-Hostmaster eingepflegt).
- DNS-Administratoren können über das „NOC-Portal“-Tool „DNS-Admin“ weitere CAA-Records pro Host setzen.
- DNS-Administratoren, die keine Rechte für das „DNS-Admin“-Tool haben, können das Eintragen von CAA-Records für FQDNs in deren Zone(n) an den RWTH-Hostmaster (hostmaster@rwth-aachen.de) oder die RWTH-CA (ca@rwth-aachen.de) oder an das IT-ServiceDesk (servicedesk@itc.rwth-aachen.de) per E-Mail adressieren.
- Die Liste der zur Auswahl stehenden CAs wird von der RWTH-CA gepflegt. Aktuell beinhaltet diese Liste die Auswahl an CAs, die derzeit Zertifikate ausgestellt haben (digicert.com, globalsign.com, letsencrypt.org, pki.dfn.de, telesec.de). Diese CAs haben wir über Cert Spotter ermittelt.
- Bereits ausgestellte Zertifikate sind nicht betroffen, da CAA-Records nur bei der Ausstellung eines Zertifikates zur Beachtung kommen.
- CAA-Records mit Eigenschaft „issuewild“ sind nur für Hosts erlaubt und werden auf Antrag von der RWTH-CA (ca@rwth-aachen.de) eingepflegt.
- Wegen des hierarchischen Aufbaus greift ein spezifischer Host-Eintrag vor dem Zonen-Eintrag.
Eine Abfrage erfolgt z.B. über
dig caa +noall +answer $DOMAIN.rwth-aachen.debzw. wenn ein spezifischer Eintrag existiert
dig caa +noall +answer $HOSTNAME.DOMAIN.rwth-aachen.deSSHFP-Records
Alle für den DNS-Admin berechtigten Personen können nun über einzelne Einträge oder einen Massenimport Secure Shell Fingerprint (SSHFP) im DNS hinterlegen (siehe dazu RFCs 4255, 6594 und 7479). Der Aufbau dieses Record-Typs (detaillierte Parameter siehe iana.org) ist:
<$SERVER.$DOMAIN.rwth-aachen.de.> [<TTL in Sekunden>] [<Class>] SSHFP <Nummer des Algorithmus> <Nummer des Hash-Type> <hexadezimaler Fingerprint>- SSHFP generieren
auf dem Server
sudo ssh-keygen -r $HOSTNAME.$DOMAIN.rwth-aachen.deremote (via grabsshfp.sh)
/grabsshfp.sh $HOSTNAME.$DOMAIN.rwth-aachen.de.
- SSHFP beim Verbindungsaufbau berücksichtigen
pro Anfrage
ssh -o VerifyHostKeyDNS=yes -l $USER $HOSTNAME.$DOMAIN.rwth-aachen.de.ssh -o FingerprintHash=sha256 -o VerifyHostKeyDNS=yes -l $USER $HOSTNAME.$DOMAIN.rwth-aachen.de.gloabe SSH Client Konfiguration (alle SSH-Verbindungen von einem Rechner, siehe dazu Hostname canonicalisation in OpenSSH)
/etc/ssh/ssh_configCanonicalizeHostname yes CanonicalDomains $DOMAIN.rwth-aachen.de CanonicalizeMaxDots 0 CanonicalizeFallbackLocal no VerifyHostKeyDNS yes
Weitere Informationen:
- Fragen und Anregungen können Sie gerne an "ca@rwth-aachen.de" oder "hostmaster@rwth-aachen.de" adressieren.
