Citrix ADC

Erstellen Sie CAA-Datensätze für einen Domainnamen

Certificate Authority Authorization (CAA) ist eine Art von DNS-Eintrag, mit dem die Domaininhaber angeben können, welche Certificate Authority (CA) SSL-Zertifikate für die Domain ausstellen kann.

Eine sichere Verbindung zu einem Dienst erfordert SSL-/TLS-Zertifikate, um die Identität des Hosts sicherzustellen und einen sicheren Kanal einzurichten. Das Fehlen von CAA-Einträgen kann ein Sicherheitsrisiko verursachen, da jeder eine Certificate Signing Request (CSR) für die Domain generieren und das Zertifikat von einer beliebigen Zertifizierungsstelle signieren lassen kann.

CAA-Einträge bieten einen Layer Schutz für Ihre Webpräsenz, indem sie es dem Domaininhaber ermöglichen, zu deklarieren, welche Zertifizierungsstellen ein Zertifikat für die Domain ausstellen dürfen. Wenn von einer nicht autorisierten Zertifizierungsstelle ein Zertifikat angefordert wird, informiert der CAA-Eintrag den Domaininhaber darüber. Wenn für eine Domain kein CAA-Eintrag vorhanden ist, kann jede Zertifizierungsstelle das Zertifikat für diese Domäne ausstellen.

Die Citrix ADC-Appliance unterstützt DNS-CAA-Datensätze in den folgenden Modi:

  • Proxy: Die Appliance speichert CAA-Datensatzantworten von Back-End-Servern im Cache und beantwortet weitere Abfragen desselben Typs aus dem Cache.
  • ADNS: Die Appliance reagiert auf DNS-Abfragen des CAA-Datensatztyps von den konfigurierten DNS-Datensätzen.

Hinweis:

  • Sie können maximal 20 CAA-Datensätze pro Domainnamen hinzufügen.
  • Rekursive Resolver- und Forwarder-Modi werden nicht unterstützt.

Einen CAA-Record mit der CLI hinzufügen

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

add dns caaRec <domain> <issuer-string> -tag <tag-string> -flag [None|Critical] [-TTL <secs>]
<!--NeedCopy-->

Beispiel:

> add dns caaRec newdomain string1 -tag Issue -flag None [-TTL 3600]
<!--NeedCopy-->

Befehlsdetails anzeigen

> show dns caaRec

1)  Domain : newdomain  ECS Subnet : None      Record id: 39423 TTL : 3600 secs Record Type : ADNS

Value: string1

Tag: issue

Flag: NONE

2)  Domain : test.com  ECS Subnet : None      Record id: 2572   TTL : 5 secs    Record Type : ADNS

Value: ca1.test.com

Tag: issue

Flag: NONE
<!--NeedCopy-->

Geben Sie den folgenden Befehl an der Eingabeaufforderung ein, um einen CAA-Datensatz zu entfernen:

rm dns caaRec <domain> <issuer-string> -tag <tag-string> | -recordId <positive_integer>@)
<!--NeedCopy-->

Beispiel:

rm dns caaRec newdomain -recordId 39423
<!--NeedCopy-->

Hinweis:

-recordId @ wird in einem Cluster nicht unterstützt.

Einen CAA-Record mit der GUI hinzufügen

Navigieren Sie zu Traffic Management > DNS > Records > CAA Records und erstellen Sie einen Adressdatensatz.

Erstellen Sie CAA-Datensätze für einen Domainnamen