*SOLVED* CAA DNS Records

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
hec_tech
Beiträge: 1096
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

*SOLVED* CAA DNS Records

Beitrag von hec_tech » 19.12.2022 10:33:59

Ich wollte die CAA Records für eine Testdomain erstellen und habe nun folgendes Problem:

wenn ich nur für die Domain den CAA Record setze funktioniert dieser für die ganzen Subdomains nicht.
Gibt es eine Möglichkeit CAA Records Domainweit zu implementieren? Wenn ja wie?

Sobald ich den Record für einen A bzw AAAA Record in der Domain setze funktioniert alles wie es soll:
also beispielsweise webmail.domain.com
Zuletzt geändert von hec_tech am 19.12.2022 14:23:15, insgesamt 1-mal geändert.
Nach oben
Benutzeravatar
bluestar
Beiträge: 2428
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: CAA DNS Records

Beitrag von bluestar » 19.12.2022 10:50:32

hec_tech hat geschrieben: ↑ zum Beitrag ↑
19.12.2022 10:33:59
wenn ich nur für die Domain den CAA Record setze funktioniert dieser für die ganzen Subdomains nicht.
Poste doch mal die komplette DNS Zone deiner Testdomain.
Nach oben
hec_tech
Beiträge: 1096
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: CAA DNS Records

Beitrag von hec_tech » 19.12.2022 11:24:46

Das Zonefile ist etwas groß bzw kann ich das nur über axfr exportieren.

Reichen dir die relevanten Einträge? Also CAA/SOA/NS

Code: Alles auswählen

vector-its.at.          3464    IN      SOA     ns1.vector-its.at. hostmaster.vector-its.at. 2022121905 10800 3600 604800 3600
vector-its.at.          3600    IN      NS      ns2.vector-its.at.
vector-its.at.          3600    IN      NS      ns3.vector-its.at.
vector-its.at.          3600    IN      NS      ns1.vector-its.at.
vector-its.at.          2794    IN      CAA     0 issue "letsencypt.org"
vector-its.at.          2794    IN      CAA     0 issuewild "letsencrypt.org"
webmail.vector-its.at.  3600    IN      CAA     0 issue "letsencrypt.org"
Nach oben
Benutzeravatar
bluestar
Beiträge: 2428
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: CAA DNS Records

Beitrag von bluestar » 19.12.2022 12:21:32

hec_tech hat geschrieben: ↑ zum Beitrag ↑
19.12.2022 11:24:46
 Das Zonefile ist etwas groß bzw kann ich das nur über axfr exportieren.

Reichen dir die relevanten Einträge? Also CAA/SOA/NS
Ja das genügt vollkommen.

Ich habe CAA noch nicht umgesetzt und getestet, würde aber vermuten das du nur folgende Einträge brauchst:

Code: Alles auswählen

vector-its.at.          2794    IN      CAA     0 issuewild "letsencrypt.org"
*.vector-its.at.  3600    IN      CAA     0 issuewild "letsencrypt.org"
Am Range noch die Frage mit welcher CA machst du den Fail-Test? Zero-SSL oder einer andern? Ich würde das dann nämlich auch mal testen ;)
Nach oben
Benutzeravatar
bluestar
Beiträge: 2428
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: CAA DNS Records

Beitrag von bluestar » 19.12.2022 13:01:31

Ich hab meine Domain gerade mal dem Schema wie von mir skizziert angepasst und getest: https://caatest.co.uk/

Das sieht für mich soweit gut aus.
Nach oben
hec_tech
Beiträge: 1096
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: CAA DNS Records

Beitrag von hec_tech » 19.12.2022 14:00:52

Sobald ich den CAA Record für Webmail wegnehme funktioniert keine Zertifikatsaustellung mehr.

Ich hätte das zumindest so verstanden dass der Domain Records auf alle A/AAAA/CNAME Records vererbt wird. Dem ist aber leider nicht so.

Ich teste das mit Certbot - der verweigert aber die Austellung.
Habe deswegen Testweise eben auch einen CAA Record für Webmail erstellt - hier funktioniert die Austellung sofort.
Nach oben
hec_tech
Beiträge: 1096
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: CAA DNS Records

Beitrag von hec_tech » 19.12.2022 14:22:57

Wir haben wohl beide den Fehler übersehen ;)

0 issue "letsencypt.org" - das kann ja nicht funktionieren.
Nach oben
Antworten

Zurück zu „Web- und Mailserver“