Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:let_s_encrypt_-_tlsa-record_-_dane [2018/09/01 07:02] – [TLSA-Record - Let's Encrypt Root CA Zertifikat (IMAP)] klaus
+++ tachtler:let_s_encrypt_-_tlsa-record_-_dane [2020/10/03 16:33] – [TLSA-Record - Let's Encrypt Root CA Zertifikat (SMTP)] klaus
@@ Zeile 102: / Zeile 102: @@
   * [[https://letsencrypt.org/certificates/]]
   * [[https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt]]
+ab **30.09.2020** *//Danke an //Danke für den Hinweis an Björn Jacke//
+  * [[https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt]]
 <code>
-# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt
+wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
---2018-08-29 09:05:17--  https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt
+--2020-10-03 16:31:13--  https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
-Resolving letsencrypt.org (letsencrypt.org)... 104.108.65.96, 2a02:26f0:7b:282::ce0, 2a02:26f0:7b:28c::ce0
+Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 157.230.103.136, 2a03:b0c0:3:e0::27e:2001, ...
-Connecting to letsencrypt.org (letsencrypt.org)|104.108.65.96|:443... connected.
+Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
 HTTP request sent, awaiting response... 200 OK
-Length: 1647 (1.6K) [text/plain]
+Length: 1541 (1,5K) [text/plain]
-Saving to: ‘/tmp/lets-encrypt-x3-cross-signed.pem.txt’
+Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’
-%[======================================>] 1,647       --.-K/s   in 0s
+lets-encrypt-r3-cro 100%[===================>]   1,50K  --.-KB/s    in 0s
--08-29 09:05:18 (128 MB/s) - ‘/tmp/lets-encrypt-x3-cross-signed.pem.txt’ saved [1647/1647]
+-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]
 </code>
@@ Zeile 120: / Zeile 122: @@
 Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:
 <code>
-# ls -la /tmp/lets-encrypt-x3-cross-signed.pem.txt
+# ls -la /tmp/lets-encrypt-r3-cross-signed.pem.txt
--rw-r--r-- 1 root root 1647 Jan 20  2018 /tmp/lets-encrypt-x3-cross-signed.pem.txt
+-rw-rw-r--. 1 klaus klaus 1541  3. Okt 16:31 /tmp/lets-encrypt-r3-cross-signed.pem.txt
 </code>
@@ Zeile 133: / Zeile 135: @@
 <code>
-# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-x3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
+# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
-_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18
+_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 </code>
@@ Zeile 141: / Zeile 143: @@
   - Die **DANE-TA(2)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''2 1 1''
   - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''mx1.tachtler.net''
-  - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. hier verwendet:\\ ''/tmp/lets-encrypt-x3-cross-signed.pem.txt''
+  - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. hier verwendet:\\ ''/tmp/lets-encrypt-r3-cross-signed.pem.txt''
 Das **Ergebnis** ist der fertige **TLSA-Record**:
 <code>
-_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18
+_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 </code>
@@ Zeile 305: / Zeile 307: @@
 _993._tcp.imap.tachtler.net. 600  IN  TLSA  3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 _993._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18
+</code>
+**__und__**
+<code>
+_143._tcp.imap.tachtler.net. 600  IN  TLSA  3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
+_143._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18
 </code>
@@ Zeile 335: / Zeile 342: @@
 ;; SERVER: 192.168.0.20#53(192.168.0.20)
 ;; WHEN: Sat Sep 01 06:29:49 CEST 2018
+;; MSG SIZE  rcvd: 142
+</code>
+**__und__**
+Ein Abfrage, mittels des Befehls **''dig''**, sollte dann wie nachfolgend dargestellt aussehen:
+<code>
+# dig _143._tcp.imap.tachtler.net IN TLSA
+; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _143._tcp.mx1.tachtler.net IN TLSA
+;; global options: +cmd
+;; Got answer:
+;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428
+;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2
+;; OPT PSEUDOSECTION:
+; EDNS: version: 0, flags:; udp: 4096
+;; QUESTION SECTION:
+;_25._tcp.mx1.tachtler.net.     IN TLSA
+;; ANSWER SECTION:
+_143._tcp.imap.tachtler.net. 600  IN TLSA 3 1 1 2192F81A9BCC98E86158A261470A83C6CBBD878EBF47993696AB5D30 DF13789F
+_143._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 60B87575447DCBA2A36B7D11AC09FB24A9DB406FEE12D2CC90180517 616E8A18
+;; AUTHORITY SECTION:
+tachtler.net.            10800  IN NS   ns1.tachtler.net.
+;; ADDITIONAL SECTION:
+ns1.tachtler.net.        10800  IN A    192.168.0.20
+;; Query time: 0 msec
+;; SERVER: 192.168.0.20#53(192.168.0.20)
+;; WHEN: Sat Sep 01 06:30:45 CEST 2018
 ;; MSG SIZE  rcvd: 142
 </code>
@@ Zeile 344: / Zeile 383: @@
 {{:tachtler:dane:www.huque.com_bin_danecheck.png?948|https://www.huque.com/bin/danecheck - imap.tachtler.net}}
+**__und__**
+{{:tachtler:dane:www.huque.com_bin_danecheck_143.png?948|https://www.huque.com/bin/danecheck - imap.tachtler.net - STARTTLS}}
 ===== Generierung TLSA-Records (HTTPS) =====