Dane: Difference between revisions
(Created page with "= doel = Dane record in DNS verteld welk ssl certificaat gekoppeld is aan een hostnaam = dns = in dns het het TLSA record en ziet er als volgt uit: _443._tcp.www.hcc.nl....") |
No edit summary |
||
| Line 1: | Line 1: | ||
= | = Doel = | ||
Een DANE record in DNS vertelt welk ssl certificaat gekoppeld is aan een hostnaam. Het is bedoeld om email verkeer te beveiligen. | |||
= | |||
in | == Waar staat DANE voor? == | ||
SMTP Security via Opportunistic '''D'''NS-Based '''A'''uthentication of '''N'''amed '''E'''ntities (DANE) | |||
== Verplicht voor overheids mailservers == | |||
STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende en verzendende e-mailservers.<br> | |||
Zie https://www.forumstandaardisatie.nl/standaard/starttls-en-dane | |||
= DNS = | |||
In DNS heet het 'TLSA record' en ziet er als volgt uit: | |||
_443._tcp.www.hcc.nl. IN TLSA 3 1 1 1884aed24d9b18f571e777a95931c78d28c31b86f216efc683ed88f65728d549 | _443._tcp.www.hcc.nl. IN TLSA 3 1 1 1884aed24d9b18f571e777a95931c78d28c31b86f216efc683ed88f65728d549 | ||
= | |||
Dat gaat heel simpel via deze site https://www.huque.com/bin/gen_tlsa | = DANE record maken = | ||
Dat gaat heel simpel via deze site https://www.huque.com/bin/gen_tlsa<br> | |||
Je vult hostnaam | Je plakt het publieke deel van het certificaat, laat verder alles default. | ||
Je vult hostnaam, port en protocol in en klikt op ''generate''. | |||
= gen_mx_hcc = | = gen_mx_hcc = | ||
Als het certificaat van hcc.nl wordt vervangen moet je in | Als het certificaat van hcc.nl wordt vervangen moet je in het gen_mx script de variable veranderen | ||
$TLSAHCC = '3 1 1 1884aed24d9b18f571e777a95931c78d28c31b86f216efc683ed88f65728d549'; | $TLSAHCC = '3 1 1 1884aed24d9b18f571e777a95931c78d28c31b86f216efc683ed88f65728d549'; | ||
want elke subdomein van hcc.nl krijgt automatisch | want elke subdomein van hcc.nl krijgt automatisch DANE record | ||
= LET op = | = LET op = | ||
Als een ssl certificaat vernieuwd wordt moet je dus ook nieuw | Als een ssl certificaat vernieuwd wordt moet je dus ook een nieuw DANE (TLSA) record maken | ||
Latest revision as of 13:14, 5 April 2020
Doel
Een DANE record in DNS vertelt welk ssl certificaat gekoppeld is aan een hostnaam. Het is bedoeld om email verkeer te beveiligen.
Waar staat DANE voor?
SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE)
Verplicht voor overheids mailservers
STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende en verzendende e-mailservers.
Zie https://www.forumstandaardisatie.nl/standaard/starttls-en-dane
DNS
In DNS heet het 'TLSA record' en ziet er als volgt uit:
_443._tcp.www.hcc.nl. IN TLSA 3 1 1 1884aed24d9b18f571e777a95931c78d28c31b86f216efc683ed88f65728d549
DANE record maken
Dat gaat heel simpel via deze site https://www.huque.com/bin/gen_tlsa
Je plakt het publieke deel van het certificaat, laat verder alles default.
Je vult hostnaam, port en protocol in en klikt op generate.
gen_mx_hcc
Als het certificaat van hcc.nl wordt vervangen moet je in het gen_mx script de variable veranderen
$TLSAHCC = '3 1 1 1884aed24d9b18f571e777a95931c78d28c31b86f216efc683ed88f65728d549';
want elke subdomein van hcc.nl krijgt automatisch DANE record
LET op
Als een ssl certificaat vernieuwd wordt moet je dus ook een nieuw DANE (TLSA) record maken