Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:let_s_encrypt_-_tlsa-record_-_dane

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tachtler:let_s_encrypt_-_tlsa-record_-_dane [2018/08/29 14:51] – [TLSA-Record - Let's Encrypt Zertifikat (HTTPS)] klaustachtler:let_s_encrypt_-_tlsa-record_-_dane [2023/01/04 08:00] (aktuell) klaus
Zeile 5: Zeile 5:
 [[https://letsencrypt.org/|Let's Encrypt]] bietet öffentlich, jederman digitalen Zertifikate an, um HTTPS (SSL / TLS) Verschlüsselung für Websites zu ermöglichen. Dies wird **kostenlos** und in einer möglichst benutzerfreundlichen Art und Weise angeboten. [[https://letsencrypt.org/|Let's Encrypt]] tut dies, weil  [[https://letsencrypt.org/|Let's Encrypt]] bietet öffentlich, jederman digitalen Zertifikate an, um HTTPS (SSL / TLS) Verschlüsselung für Websites zu ermöglichen. Dies wird **kostenlos** und in einer möglichst benutzerfreundlichen Art und Weise angeboten. [[https://letsencrypt.org/|Let's Encrypt]] tut dies, weil 
 [[https://letsencrypt.org/|Let's Encrypt]] offiziell ein sichereres und die Privatsphäre respektierendes Internet fördern möchte. [[https://letsencrypt.org/|Let's Encrypt]] offiziell ein sichereres und die Privatsphäre respektierendes Internet fördern möchte.
 +
 +Weitere Informationen zum Einsatz von **TLSA** in Verwendung mit [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten sind unter nachfolgendem externen Link verfügbar:
 +  * [[https://community.letsencrypt.org/t/please-avoid-3-0-1-and-3-0-2-dane-tlsa-records-with-le-certificates/7022]]
  
 ===== Grundlagen TLSA-Record ===== ===== Grundlagen TLSA-Record =====
Zeile 58: Zeile 61:
 ===== Generierung TLSA-Records (SMTP) ===== ===== Generierung TLSA-Records (SMTP) =====
  
-Nachfolgend sollen **zwei TLSA-Records** erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikats, welche nach aktuellem Stand nur Zertifikate für **90 Tage** ausstellt. **Dies macht es erforderlich, auch den TLSA-Record alle 90 Tage zu erneuern.** +Nachfolgend sollen **zwei TLSA-Records** erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikats, welche nach aktuellem Stand nur Zertifikate für **90 Tage** ausstellt. **Dies würde es erforderlich machen, auch den TLSA-Record alle 90 Tage zu erneuern.** 
 + 
 +:!: **HINWEIS** - **Eine Erneuerung alle 90 Tage ist bei entsprechender Gestaltung des TLSA-Records __NICHT__ erforderlich!** 
 + 
 +Siehe auch den externen Link: [[https://community.letsencrypt.org/t/please-avoid-3-0-1-and-3-0-2-dane-tlsa-records-with-le-certificates/7022]] 
 + 
 +**Bei der Verwendung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten mit 90-tägigem Ablaufdatum ist darauf zu achten, dass**  
 +  * **__keine__ "3 0 1" und __keine__ "3 0 2" DANE TLSA-Datensätze veröffentlicht werden.** 
 +**Die Erneuerung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten führt zu einem neuen Zertifikats-Digest (Fingerprint) und macht die TLSA-Datensätze ungültig.** 
 + 
 +**Stattdessen sollten** 
 +  * **"3 1 1"- oder "2 1 1"-Datensätze** 
 +**wie im folgenden Abschnitt erläutert veröffentlicht werden.** 
 + 
 +**Bei "3 1 1"-Datensätzen müssen Sie sicherstellen, dass die Erneuerung von [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikaten kein neues Paar aus privatem und öffentlichem Schlüssel erzeugt, sondern dass bei künftigen Aktualisierungen des Zertifikats dasselbe Paar aus öffentlichem Schlüssel verwendet wird.**
  
 Damit nun, wenn einmal die **Erstellung eines neuen Zertifikats __nicht rechtzeitig__ erfolgt**, eine Art **"Fallback"**-Szenario existiert, soll auch ein **TLSA-Record für das Root-Zertifikat der [[https://letsencrypt.org/|Let's Encrypt]] CA __zusätzlich__ erstellt werden.** Damit nun, wenn einmal die **Erstellung eines neuen Zertifikats __nicht rechtzeitig__ erfolgt**, eine Art **"Fallback"**-Szenario existiert, soll auch ein **TLSA-Record für das Root-Zertifikat der [[https://letsencrypt.org/|Let's Encrypt]] CA __zusätzlich__ erstellt werden.**
Zeile 98: Zeile 115:
 :!: **HINWEIS** - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen: :!: **HINWEIS** - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:
   * [[https://letsencrypt.org/certificates/]]   * [[https://letsencrypt.org/certificates/]]
-  * [[https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt]]+**bis 06.10.2021** 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt]] (RSA) 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt]] (RSA) 
 +**ab 30.09.2020** 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt]] (RSA) 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt]] (RSA) 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-e1.pem]] (ECDSA) 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-e2.pem]] (ECDSA) 
 +* //Danke für den Hinweis an Björn Jacke//
  
 <code> <code>
-# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt 
---2018-08-29 09:05:17--  https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt +--2020-10-03 16:31:13--  https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt 
-Resolving letsencrypt.org (letsencrypt.org)... 104.108.65.962a02:26f0:7b:282::ce02a02:26f0:7b:28c::ce0 +Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91157.230.103.1362a03:b0c0:3:e0::27e:2001, ... 
-Connecting to letsencrypt.org (letsencrypt.org)|104.108.65.96|:443... connected.+Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
 HTTP request sent, awaiting response... 200 OK HTTP request sent, awaiting response... 200 OK
-Length: 1647 (1.6K) [text/plain] +Length: 1541 (1,5K) [text/plain] 
-Saving to: ‘/tmp/lets-encrypt-x3-cross-signed.pem.txt’+Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’
  
-100%[======================================>] 1,647       --.-K/s   in 0s      +lets-encrypt-r3-cro 100%[===================>  1,50K  --.-KB/s    in 0s      
  
-2018-08-29 09:05:18 (128 MB/s) - ‘/tmp/lets-encrypt-x3-cross-signed.pem.txt’ saved [1647/1647]+2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]
  
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
 +--2020-10-03 17:20:14--  https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
 +Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1541 (1,5K) [text/plain]
 +Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’
 +
 +lets-encrypt-r4-cro 100%[===================>  1,50K  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]
 +
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem
 +--2020-10-03 17:20:39--  https://letsencrypt.org/certs/lets-encrypt-e1.pem
 +Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1021 [application/x-pem-file]
 +Saving to: ‘/tmp/lets-encrypt-e1.pem’
 +
 +lets-encrypt-e1.pem 100%[===================>   1021  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem
 +--2020-10-03 17:20:56--  https://letsencrypt.org/certs/lets-encrypt-e2.pem
 +Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1021 [application/x-pem-file]
 +Saving to: ‘/tmp/lets-encrypt-e2.pem’
 +
 +lets-encrypt-e2.pem 100%[===================>   1021  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]
 </code> </code>
  
 Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden: Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:
 <code> <code>
-ls -la /tmp/lets-encrypt-x3-cross-signed.pem.txt +ls -la /tmp/lets-encrypt* 
--rw-r--r-- 1 root root 1647 Jan 20  2018 /tmp/lets-encrypt-x3-cross-signed.pem.txt+-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e1.pem 
 +-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e2.pem 
 +-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt 
 +-rw-rw-r--klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt
 </code> </code>
  
Zeile 130: Zeile 201:
  
 <code> <code>
-# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-x3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"'+# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"'
-_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18+_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +</code> 
 +<code> 
 +# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"'
 +_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code> </code>
  
Zeile 138: Zeile 213:
   - Die **DANE-TA(2)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''2 1 1''   - Die **DANE-TA(2)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''2 1 1''
   - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''mx1.tachtler.net''   - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''mx1.tachtler.net''
-  - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. hier verwendet:\\ ''/tmp/lets-encrypt-x3-cross-signed.pem.txt''+  - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. Hier verwendet:\\  
 +    * ''/tmp/lets-encrypt-r3-cross-signed.pem.txt'' 
 +    * ''/tmp/lets-encrypt-r4-cross-signed.pem.txt''
  
 Das **Ergebnis** ist der fertige **TLSA-Record**: Das **Ergebnis** ist der fertige **TLSA-Record**:
 <code> <code>
-_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18+_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code> </code>
  
Zeile 150: Zeile 228:
 <code> <code>
 _25._tcp.mx1.tachtler.net. 600  IN  TLSA  3 1 1 e9bc354eaffcf2751f847a22fd6d021cb94a9a015e1d64f76673e41f9f0b8f88 _25._tcp.mx1.tachtler.net. 600  IN  TLSA  3 1 1 e9bc354eaffcf2751f847a22fd6d021cb94a9a015e1d64f76673e41f9f0b8f88
-_25._tcp.mx1.tachtler.net. 600  IN  TLSA  2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18+_25._tcp.mx1.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +_25._tcp.mx1.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code> </code>
  
Zeile 170: Zeile 249:
 ;; ANSWER SECTION: ;; ANSWER SECTION:
 _25._tcp.mx1.tachtler.net. 600  IN TLSA 3 1 1 E9BC354EAFFCF2751F847A22FD6D021CB94A9A015E1D64F76673E41F 9F0B8F88 _25._tcp.mx1.tachtler.net. 600  IN TLSA 3 1 1 E9BC354EAFFCF2751F847A22FD6D021CB94A9A015E1D64F76673E41F 9F0B8F88
-_25._tcp.mx1.tachtler.net. 600  IN TLSA 2 1 1 60B87575447DCBA2A36B7D11AC09FB24A9DB406FEE12D2CC90180517 616E8A18+_25._tcp.mx1.tachtler.net. 600  IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D 
 +_25._tcp.mx1.tachtler.net. 600  IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03
  
 ;; AUTHORITY SECTION: ;; AUTHORITY SECTION:
Zeile 180: Zeile 260:
 ;; Query time: 0 msec ;; Query time: 0 msec
 ;; SERVER: 192.168.0.20#53(192.168.0.20) ;; SERVER: 192.168.0.20#53(192.168.0.20)
-;; WHEN: Wed Aug 29 09:53:19 CEST 2018+;; WHEN: Sat Oct 03 16:31:19 CEST 2020
 ;; MSG SIZE  rcvd: 187 ;; MSG SIZE  rcvd: 187
 </code> </code>
Zeile 188: Zeile 268:
 Zur Überprüfung, ob die **TLSA-Records** auch korrekt gesetzt sind und auch zum jeweiligen, hier **MTA** passen, kann nachfolgender **externer Link** der [[https://sys4.de|[*] sys4 AG]] verwendet werden: Zur Überprüfung, ob die **TLSA-Records** auch korrekt gesetzt sind und auch zum jeweiligen, hier **MTA** passen, kann nachfolgender **externer Link** der [[https://sys4.de|[*] sys4 AG]] verwendet werden:
   * **[[https://dane.sys4.de/]]**   * **[[https://dane.sys4.de/]]**
 +oder
 +  * **[[https://de.ssl-tools.net/mailservers]]**
 +oder
 +  * **[[https://www.huque.com/bin/danecheck]]**
  
 {{:tachtler:dane:dane.sys4.de.png| https://dane.sys4.de/}} {{:tachtler:dane:dane.sys4.de.png| https://dane.sys4.de/}}
 +* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-x3-cross-signed.pem.txt'' Zertifikats//
 +===== Generierung TLSA-Records (IMAP) =====
  
 +Nachfolgend sollen **zwei TLSA-Records** erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikats, welche nach aktuellem Stand nur Zertifikate für **90 Tage** ausstellt. **Dies macht es erforderlich, auch den TLSA-Record alle 90 Tage zu erneuern.** 
 +
 +Damit nun, wenn einmal die **Erstellung eines neuen Zertifikats __nicht rechtzeitig__ erfolgt**, eine Art **"Fallback"**-Szenario existiert, soll auch ein **TLSA-Record für das Root-Zertifikat der [[https://letsencrypt.org/|Let's Encrypt]] CA __zusätzlich__ erstellt werden.**
 +
 +Durch die Erstellung eines **TLSA-Records** für das Root-Zertifikat der [[https://letsencrypt.org/|Let's Encrypt]] CA ist dies eben das **"Fallback"**-Szenario. Das bedeutet, dass so lange bis das eigentliche [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikat erneuert wurde, weiterhin der **TLSA-Record der [[https://letsencrypt.org/|Let's Encrypt]]-CA (Root-Zertifikat) gültig ist und zur Validierung verwendet werden kann.**
 +
 +:!: **WICHTIG** - **Sollte sich jedoch das [[https://letsencrypt.org/|Let's Encrypt]]-Root-Zertifikat "Let’s Encrypt Authority X3" Zertifikat einmal ändern, muss auch dieser __TLSA-Record__ erneuert werden!**
 +
 +==== TLSA-Record - Let's Encrypt Zertifikat (IMAP) ====
 +
 +Nachfolgend soll auf Basis des **TLSAGEN**-Script der [[https://sys4.de|[*] sys4 AG]] der **FINGERPRINT** des **eigentlichen [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikats** erstellt werden.
 +
 +Dazu soll der **FINGERPRINT** des eigentlichen [[https://letsencrypt.org/|Let's Encrypt]]-Zertifikats, welches hier im Verzeichnis 
 +  * ''/opt/dehydrated-master-dovecot/certs/imap.tachtler.net/''
 +liegt, verwendet werden. 
 +
 +Nachfolgender Aufruf des **einzeiligen Befehls** sollte nachfolgende Ausgabe erzeugen:
 +
 +<code>
 +# printf '_993._tcp.%s. IN TLSA 3 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
 +_993._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 +</code>
 +**__und__**
 +<code>
 +# printf '_143._tcp.%s. IN TLSA 3 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
 +_143._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 +</code>
 +
 +**__Parameter für den Aufruf__**:
 +
 +  - Die **DANE-EE(3)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''3 1 1''
 +  - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''imap.tachtler.net''
 +  - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. hier verwendet:\\ ''/opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem''
 +
 +Das **Ergebnis** sind die fertigen **TLSA-Records**:
 +<code>
 +_143._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 +_993._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 +</code>
 +
 +==== TLSA-Record - Let's Encrypt Root CA Zertifikat (IMAP) ====
 +
 +Bevor mit der Erstellung des **TLSA-Records** aus dem [[https://letsencrypt.org/|Let's Encrypt]]-Root-Zertifikat der [[https://letsencrypt.org/|Let's Encrypt]]-CA begonnen werden soll, muss dieses erst einmal **heruntergeladen** werden, was mit nachfolgendem Befehl durchgeführt werden kann:
 +
 +:!: **HINWEIS** - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:
 +  * [[https://letsencrypt.org/certificates/]]
 +**bis 06.10.2021**
 +  * [[https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt]] (RSA)
 +  * [[https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt]] (RSA)
 +**ab 30.09.2020**
 +  * [[https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt]] (RSA)
 +  * [[https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt]] (RSA)
 +  * [[https://letsencrypt.org/certs/lets-encrypt-e1.pem]] (ECDSA)
 +  * [[https://letsencrypt.org/certs/lets-encrypt-e2.pem]] (ECDSA)
 +* //Danke für den Hinweis an Björn Jacke//
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
 +--2020-10-03 16:31:13--  https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
 +Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 157.230.103.136, 2a03:b0c0:3:e0::27e:2001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1541 (1,5K) [text/plain]
 +Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’
 +
 +lets-encrypt-r3-cro 100%[===================>  1,50K  --.-KB/   in 0s      
 +
 +2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]
 +
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
 +--2020-10-03 17:20:14--  https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
 +Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1541 (1,5K) [text/plain]
 +Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’
 +
 +lets-encrypt-r4-cro 100%[===================>  1,50K  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]
 +
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem
 +--2020-10-03 17:20:39--  https://letsencrypt.org/certs/lets-encrypt-e1.pem
 +Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1021 [application/x-pem-file]
 +Saving to: ‘/tmp/lets-encrypt-e1.pem’
 +
 +lets-encrypt-e1.pem 100%[===================>   1021  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem
 +--2020-10-03 17:20:56--  https://letsencrypt.org/certs/lets-encrypt-e2.pem
 +Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1021 [application/x-pem-file]
 +Saving to: ‘/tmp/lets-encrypt-e2.pem’
 +
 +lets-encrypt-e2.pem 100%[===================>   1021  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]
 +</code>
 +
 +Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:
 +<code>
 +ls -la /tmp/lets-encrypt*
 +-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e1.pem
 +-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e2.pem
 +-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt
 +-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt
 +</code>
 +
 +Nachfolgend soll auf Basis des **TLSAGEN**-Script der [[https://sys4.de|[*] sys4 AG]] der **FINGERPRINT** des **[[https://letsencrypt.org/|Let's Encrypt]]-Root--Zertifikats** aus der [[https://letsencrypt.org/|Let's Encrypt]]-CA erstellt werden.
 +
 +Jetzt kann der **FINGERPRINT** des **[[https://letsencrypt.org/|Let's Encrypt]]-Root--Zertifikats** aus der [[https://letsencrypt.org/|Let's Encrypt]]-CA, welches hier im Verzeichnis 
 +  * ''/tmp/''
 +liegt, verwendet werden. 
 +
 +Nachfolgender Aufruf des **einzeiligen Befehls** sollte nachfolgende Ausgabe erzeugen:
 +
 +<code>
 +# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
 +_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 +</code>
 +<code>
 +# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
 +_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 +</code>
 +**__und__**
 +<code>
 +# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
 +_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 +</code>
 +<code>
 +# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
 +_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 +</code>
 +
 +**__Parameter für den Aufruf__**:
 +
 +  - Die **DANE-TA(2)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''2 1 1''
 +  - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''imap.tachtler.net''
 +  - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. Hier verwendet:\\ 
 +    * ''/tmp/lets-encrypt-r3-cross-signed.pem.txt''
 +    * ''/tmp/lets-encrypt-r4-cross-signed.pem.txt''
 +
 +Das **Ergebnis** ist der fertige **TLSA-Record**:
 +<code>
 +_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 +_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 +_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 +_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 +</code>
 +
 +===== Enrichtung DNS (IMAP) =====
 +
 +Nachfolgend wird dargestellt, wie die **DNS-Records** entsprechend im jeweiligen DNS-Server hinterlegt werden können:
 +<code>
 +_993._tcp.imap.tachtler.net. 600  IN  TLSA  3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 +_993._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 +_993._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 +</code>
 +**__und__**
 +<code>
 +_143._tcp.imap.tachtler.net. 600  IN  TLSA  3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
 +_143._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
 +_143._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 +</code>
 +
 +Ein Abfrage, mittels des Befehls **''dig''**, sollte dann wie nachfolgend dargestellt aussehen:
 +<code>
 +# dig _993._tcp.imap.tachtler.net IN TLSA
 +
 +; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _993._tcp.mx1.tachtler.net IN TLSA
 +;; global options: +cmd
 +;; Got answer:
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428
 +;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2
 +
 +;; OPT PSEUDOSECTION:
 +; EDNS: version: 0, flags:; udp: 4096
 +;; QUESTION SECTION:
 +;_25._tcp.mx1.tachtler.net.     IN TLSA
 +
 +;; ANSWER SECTION:
 +_993._tcp.imap.tachtler.net. 600  IN TLSA 3 1 1 2192F81A9BCC98E86158A261470A83C6CBBD878EBF47993696AB5D30 DF13789F
 +_993._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D
 +_993._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03
 +
 +;; AUTHORITY SECTION:
 +tachtler.net.            10800  IN NS   ns1.tachtler.net.
 +
 +;; ADDITIONAL SECTION:
 +ns1.tachtler.net.        10800  IN A    192.168.0.20
 +
 +;; Query time: 0 msec
 +;; SERVER: 192.168.0.20#53(192.168.0.20)
 +;; WHEN: Sat Oct 03 16:33:24 CEST 2020
 +;; MSG SIZE  rcvd: 142
 +</code>
 +**__und__**
 +
 +Ein Abfrage, mittels des Befehls **''dig''**, sollte dann wie nachfolgend dargestellt aussehen:
 +<code>
 +# dig _143._tcp.imap.tachtler.net IN TLSA
 +
 +; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _143._tcp.mx1.tachtler.net IN TLSA
 +;; global options: +cmd
 +;; Got answer:
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428
 +;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2
 +
 +;; OPT PSEUDOSECTION:
 +; EDNS: version: 0, flags:; udp: 4096
 +;; QUESTION SECTION:
 +;_25._tcp.mx1.tachtler.net.     IN TLSA
 +
 +;; ANSWER SECTION:
 +_143._tcp.imap.tachtler.net. 600  IN TLSA 3 1 1 2192F81A9BCC98E86158A261470A83C6CBBD878EBF47993696AB5D30 DF13789F
 +_143._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D
 +_146._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03
 +
 +;; AUTHORITY SECTION:
 +tachtler.net.            10800  IN NS   ns1.tachtler.net.
 +
 +;; ADDITIONAL SECTION:
 +ns1.tachtler.net.        10800  IN A    192.168.0.20
 +
 +;; Query time: 0 msec
 +;; SERVER: 192.168.0.20#53(192.168.0.20)
 +;; WHEN: Sat Oct 03 16:33:29 CEST 2020
 +;; MSG SIZE  rcvd: 142
 +</code>
 +
 +===== Überprüfung (IMAP) =====
 +
 +Zur Überprüfung, ob die **TLSA-Records** auch korrekt gesetzt sind und auch zum jeweiligen, hier **MDA** passen, kann nachfolgender **externer Link** verwendet werden:
 +  * **[[https://www.huque.com/bin/danecheck]]**
 +
 +{{:tachtler:dane:www.huque.com_bin_danecheck.png?948|https://www.huque.com/bin/danecheck - imap.tachtler.net}}
 +* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-x3-cross-signed.pem.txt'' Zertifikats//
 +
 +**__und__**
 +{{:tachtler:dane:www.huque.com_bin_danecheck_143.png?948|https://www.huque.com/bin/danecheck - imap.tachtler.net - STARTTLS}}
 +* //Bildschirmkopie **__nur__** unter Verwendung des ''lets-encrypt-x3-cross-signed.pem.txt'' Zertifikats//
 ===== Generierung TLSA-Records (HTTPS) ===== ===== Generierung TLSA-Records (HTTPS) =====
  
Zeile 218: Zeile 560:
 **__Parameter für den Aufruf__**: **__Parameter für den Aufruf__**:
  
-  - Die **DANE-EE(3)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''1 1 1''+  - Die **PKIX-EE:** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''1 1 1''
   - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''tachtler.net''   - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''tachtler.net''
   - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. hier verwendet:\\ ''/opt/dehydrated-master/certs/tachtler.net/cert.pem''   - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. hier verwendet:\\ ''/opt/dehydrated-master/certs/tachtler.net/cert.pem''
Zeile 233: Zeile 575:
 :!: **HINWEIS** - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen: :!: **HINWEIS** - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:
   * [[https://letsencrypt.org/certificates/]]   * [[https://letsencrypt.org/certificates/]]
-  * [[https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt]]+**bis 06.10.2021** 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt]] (RSA) 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt]] (RSA) 
 +**ab 30.09.2020** 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt]] (RSA) 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt]] (RSA) 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-e1.pem]] (ECDSA) 
 +  * [[https://letsencrypt.org/certs/lets-encrypt-e2.pem]] (ECDSA) 
 +* //Danke für den Hinweis an Björn Jacke//
  
 <code> <code>
-# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt 
---2018-08-29 09:05:17--  https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt +--2020-10-03 16:31:13--  https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt 
-Resolving letsencrypt.org (letsencrypt.org)... 104.108.65.962a02:26f0:7b:282::ce02a02:26f0:7b:28c::ce0 +Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91157.230.103.1362a03:b0c0:3:e0::27e:2001, ... 
-Connecting to letsencrypt.org (letsencrypt.org)|104.108.65.96|:443... connected.+Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
 HTTP request sent, awaiting response... 200 OK HTTP request sent, awaiting response... 200 OK
-Length: 1647 (1.6K) [text/plain] +Length: 1541 (1,5K) [text/plain] 
-Saving to: ‘/tmp/lets-encrypt-x3-cross-signed.pem.txt’+Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’
  
-100%[======================================>] 1,647       --.-K/s   in 0s      +lets-encrypt-r3-cro 100%[===================>  1,50K  --.-KB/s    in 0s      
  
-2018-08-29 09:05:18 (128 MB/s) - ‘/tmp/lets-encrypt-x3-cross-signed.pem.txt’ saved [1647/1647]+2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]
  
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
 +--2020-10-03 17:20:14--  https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
 +Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1541 (1,5K) [text/plain]
 +Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’
 +
 +lets-encrypt-r4-cro 100%[===================>  1,50K  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]
 +
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem
 +--2020-10-03 17:20:39--  https://letsencrypt.org/certs/lets-encrypt-e1.pem
 +Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1021 [application/x-pem-file]
 +Saving to: ‘/tmp/lets-encrypt-e1.pem’
 +
 +lets-encrypt-e1.pem 100%[===================>   1021  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]
 +</code>
 +
 +<code>
 +# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem
 +--2020-10-03 17:20:56--  https://letsencrypt.org/certs/lets-encrypt-e2.pem
 +Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ...
 +Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
 +HTTP request sent, awaiting response... 200 OK
 +Length: 1021 [application/x-pem-file]
 +Saving to: ‘/tmp/lets-encrypt-e2.pem’
 +
 +lets-encrypt-e2.pem 100%[===================>   1021  --.-KB/   in 0s      
 +
 +2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]
 </code> </code>
  
 Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden: Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:
 <code> <code>
-ls -la /tmp/lets-encrypt-x3-cross-signed.pem.txt +ls -la /tmp/lets-encrypt* 
--rw-r--r-- 1 root root 1647 Jan 20  2018 /tmp/lets-encrypt-x3-cross-signed.pem.txt+-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e1.pem 
 +-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e2.pem 
 +-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt 
 +-rw-rw-r--klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt
 </code> </code>
  
Zeile 265: Zeile 661:
  
 <code> <code>
-# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' tachtler.net $(openssl x509 -in /tmp/lets-encrypt-x3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"'+# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"'
-_443._tcp.tachtler.net. IN TLSA 2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18+_443._tcp.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +</code> 
 +<code> 
 +# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"'
 +_443._tcp.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03 
 +</code> 
 +**und** 
 +<code> 
 +# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' www.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"'
 +_443._tcp.www.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +</code> 
 +<code> 
 +# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' www.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"'
 +_443._tcp.www.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code> </code>
  
Zeile 272: Zeile 681:
  
   - Die **DANE-TA(2)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''2 1 1''   - Die **DANE-TA(2)** Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:\\ ''2 1 1''
-  - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''tachtler.net'' +  - Die **Domäne** muss entsprechend angepasst werden, hier verwendet:\\ ''tachtler.net'' **und** \\ \\ ''www.tachtler.net'' 
-  - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. hier verwendet:\\ ''/tmp/lets-encrypt-x3-cross-signed.pem.txt''+  - Der **Speicherort** und der **Dateiname** des Zertifikats muss entsprechend angepasst werden. Hier verwendet:\\  
 +    * ''/tmp/lets-encrypt-r3-cross-signed.pem.txt'' 
 +    * ''/tmp/lets-encrypt-r4-cross-signed.pem.txt''
  
 Das **Ergebnis** ist der fertige **TLSA-Record**: Das **Ergebnis** ist der fertige **TLSA-Record**:
 <code> <code>
-_443._tcp.tachtler.net. IN TLSA 2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18+_443._tcp.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +_443._tcp.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03 
 +_443._tcp.www.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +_443._tcp.www.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code> </code>
  
Zeile 285: Zeile 699:
 <code> <code>
 _443._tcp.tachtler.net. 600  IN  TLSA  1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f _443._tcp.tachtler.net. 600  IN  TLSA  1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f
-_443._tcp.tachtler.net. 600  IN  TLSA  2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18+_443._tcp.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +_443._tcp.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 _443._tcp.www.tachtler.net. 600  IN  TLSA  1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f _443._tcp.www.tachtler.net. 600  IN  TLSA  1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f
-_443._tcp.www.tachtler.net. 600  IN  TLSA  2 1 1 60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18+_443._tcp.www.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d 
 +_443._tcp.www.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
 </code> </code>
  
Zeile 293: Zeile 709:
 <code> <code>
 # dig _443._tcp.tachtler.net IN TLSA # dig _443._tcp.tachtler.net IN TLSA
 +
 +; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> _443._tcp.tachtler.net IN TLSA
 +;; global options: +cmd
 +;; Got answer:
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30095
 +;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2
 +
 +;; OPT PSEUDOSECTION:
 +; EDNS: version: 0, flags:; udp: 4096
 +;; QUESTION SECTION:
 +;_443._tcp.tachtler.net.     IN  TLSA
 +
 +;; ANSWER SECTION:
 +_443._tcp.tachtler.net. 600  IN  TLSA    2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D
 +_443._tcp.tachtler.net. 600  IN  TLSA    2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03
 +_443._tcp.tachtler.net. 600  IN  TLSA    1 1 1 ADEA18BBACB8A8F1370659BD3CC0A3A209BC27BFEF82942C3ADE7586 22CA0A5F
 +
 +;; AUTHORITY SECTION:
 +tachtler.net.         10800  IN   NS      ns1.tachtler.net.
 +
 +;; ADDITIONAL SECTION:
 +ns1.tachtler.net.     10800  IN         192.168.0.20
 +
 +;; Query time: 0 msec
 +;; SERVER: 192.168.0.20#53(192.168.0.20)
 +;; WHEN: Sat Oct 03 16:34:01 CEST 2020
 +;; MSG SIZE  rcvd: 184
  
 </code> </code>
 +
 +===== Überprüfung (HTTPS) =====
 +
 +Zur Überprüfung, ob die **TLSA-Records** auch korrekt gesetzt sind und auch zum jeweiligen, hier **Webserver** passen, kann nachfolgender **externer Link** verwendet werden:
 +  * **[[https://de.ssl-tools.net/webservers/]]**
 +oder
 +  * **[[https://www.huque.com/bin/danecheck]]**
 +
 +{{:tachtler:dane:de.ssl-tools.net_webservers.png?948|https://de.ssl-tools.net/webservers/tachtler.net}}
  
tachtler/let_s_encrypt_-_tlsa-record_-_dane.1535547069.txt.gz · Zuletzt geändert: 2018/08/29 14:51 von klaus