Record Typen und deren Nutzung
Auf dieser Seite erfahren Sie mehr über die spezifischen Record Typen und wie diese an der RWTH genutzt werden.
CAA-Records
Ab dem 23.2.2018 werden im RWTH DNS Certification Authority Authorization (CAA) Resource Records (RR) nach RFC6844 eingeführt.
CAA Records bieten dem Besitzer einer Domain die Möglichkeit, definierte Zertifizierungsstellen (CAs) dazu zu berechtigen, X.509 Zertifikate (auch als SSL-Zertifikate bekannt) für Host(s) unterhalb der Domain auszustellen. CAA Records sollen verhindern, dass Zertifikate an Unberechtigte ausgestellt werden. Voraussetzung hierfür ist, dass die Zertifizierungsstelle die CAA Records prüft. Seit September 2017 sind Zertifizierungsstellen, die im CA/Browser Forum teilnehmen, verpflichtet, CAA Records bei der Erstellung des Zertifikates zu prüfen.
Was heißt dies praktisch für einen Serveradministrator?
- CAA Records für den Hostnamen (FQDN) seines Servers im DNS setzen/prüfen.
- Zertifikatsantrag (CSR) generieren und an eine im CAA Record definierte CA schicken.
- Insbesondere, wenn ein Zertifikat außerhalb der DFN-PKI beantragt wird, ist Schritt 1 notwendig.
Für CAA Records innerhalb der Domains, die den RWTH-Nameservern delegiert sind, gelten folgende Regelungen:
- Die DFN-PKI ist für alle Zonen (Domains) per default erlaubt (d.h. die CAA Records sind bereits vom RWTH-Hostmaster eingepflegt).
- DNS-Administratoren können über das „noc-portal“-Tool „DNS-Admin“ weitere CAA Records pro Host setzen [3].
- DNS-Administratoren, die keine Rechte für das „DNS-Admin“-Tool haben, können das Eintragen von CAA Records für FQDNs in deren Zone(n) an den RWTH-Hostmaster (hostmaster@rwth-aachen.de) oder die RWTH CA (ca@rwth-aachen.de) oder an das IT-ServiceDesk (servicedesk@itc.rwth-aachen.de) per E-Mail adressieren.
- Die Liste der zur Auswahl stehenden CAs wird von der RWTH CA gepflegt. Aktuell beinhaltet diese Liste die Auswahl an CAs, die derzeit Zertifikate ausgestellt haben (digicert.com, globalsign.com, letsencrypt.org, pki.dfn.de, telesec.de). Diese CAs haben wir über Cert Spotter ermittelt.
- Bereits ausgestellte Zertifikate sind nicht betroffen, da CAA Records nur bei der Ausstellung eines Zertifikates zur Beachtung kommen.
- CAA Records mit Eigenschaft „issuewild“ sind nur für Hosts erlaubt und können auf Antrag an die RWTH CA (ca@rwth-aachen.de) eingepflegt werden.
- Wegen des hierarchischen Aufbaus greift ein spezifischer Host-Eintrag vor dem Zonen-Eintrag.
Eine Abfrage erfolgt bspw. via
dig caa +noall +answer $DOMAIN.rwth-aachen.de |
bzw. wenn ein spezifischer Eintrag existiert
dig caa +noall +answer $HOSTNAME.DOMAIN.rwth-aachen.de |
SSHFP-Records
Alle für den DNS-Admin berechtigte Personen können nun über einzelne Einträge oder einen Massen-Import sog. Secure Shell Fingerprint (SSHFP) im DNS hinterlegen (siehe dazu RFC 4255, 6594 und 7479). Der Aufbau dieses Record-Typ (detaillierte Parameter siehe iana.org) ist:
<$SERVER.$DOMAIN.rwth-aachen.de.> [<TTL in Sekunden>] [<Class>] SSHFP <Nummer des Algorithmus> <Nummer des Hash-Type> <hexadezimaler Fingerprint> |
- SSHFP generieren
auf dem Server
sudo ssh-keygen -r $HOSTNAME.$DOMAIN.rwth-aachen.de.remote(via grabsshfp.sh)
/grabsshfp.sh $HOSTNAME.$DOMAIN.rwth-aachen.de.
- SSHFP beim Verbindungsaufbau berücksichtigen
pro Anfrage
ssh -o VerifyHostKeyDNS=yes -l $USER $HOSTNAME.$DOMAIN.rwth-aachen.de.ssh -o FingerprintHash=sha256 -o VerifyHostKeyDNS=yes -l $USER $HOSTNAME.$DOMAIN.rwth-aachen.de.gloabe SSH Client Configuration (alle SSH-Verbindungen von einem Rechner, siehe dazu "Hostname canonicalisation in OpenSSH)
/etc/ssh/ssh_configCanonicalizeHostname yesCanonicalDomains $DOMAIN.rwth-aachen.deCanonicalizeMaxDots 0CanonicalizeFallbackLocal noVerifyHostKeyDNS yes
Weitere Informationen:
- Fragen und Anregungen können Sie gerne an "ca@rwth-aachen.de" oder "hostmaster@rwth-aachen.de" adressieren.
