DNS 新增 CAA 紀錄

學校的網頁伺服器採用 HTTPS 模式時，均使用 Let's Encyrpt 認證服務。大多數的伺服器都依 Let's Encrypt 官網的說明，使用 Certbot 用戶端自動於過期前更新。

今天遇到 6/16 到期的 radius.tsh.tp.edu.tw 出現久違的 https 警告，發現該主機的 Certbot 並沒有自動更新。查詢相關資料後，用 sudo certbot renew 手動指令更新，出現下列的錯誤：

發現是 DNS CAA 錯誤問題。

摘錄「https://ezbox.idv.tw/112/dns-caa-protec-ssl-tls-certificate/」說明：

目前全球簽發 SSL/TLS 憑證的機構已超過百個
要避免這些機構在某些情況下錯誤簽發憑證 (WoSign曾發生過)
就需要在簽發憑證前做一些檢查動作
在 RFC 6844 中定義了 DNS CAA Record
透過 DNS 的 CAA 紀錄，申明網域授權哪些機構可以簽發該網域的憑證
如果沒有設定 CAA 紀錄，則代表任何機構都可以簽發該網域的憑證
2013年1月 CA可以決定是否檢查該記錄，非強制性
2017年3月 CA/Browser 論壇決議 2017年9月起強制所有憑證發行機構在簽發憑證前必須檢查 DNS CAA 紀錄
如果是代管 DNS，則現行多數的DNS代管單位都可以直接設定 CAA 紀錄
若無法新增 CAA 紀錄，只能聯繫代管服務商要求提供協助設定
如果是自行管理DNS，則需要在自己的 DNS Server 上自行設定

解決方式只要用 SSLMate 提供的 CAA Record Helper 來協助產生紀錄，再輸入 BIND9 設定檔中即可。

留言

這個網誌中的熱門文章

SSH Tunnel（Port Forwarding）的應用

自己在管理伺服器和防火牆原則是最小開放原則，一定需要的服務 port 才會開放，例如網頁伺服器的 80、443 等。而管理用的 ssh ，可以的話就限縮來源 IP 範圍，加上限制可以登入的帳號或群組，要不然就改 port 編號；不過，改 port 編號會變成自己在遠端登入時要回想是改成多少，有點不是很方便。所以最近建置的伺服器就不改 port 了，會加上 fail2ban 的防衛機制。因為最小開放原則，像是 webmin（10000）這樣的 port 就不會開放，如果想要用的話，就用 ssh tunnel 方式作跳板連接。例如伺服器的 public ip：123.123.123.123，要連 webmin 的話，就用： ssh 123.123.123.123 -L 10000:127.0.0.1:10000 SSH 登入後就會在客戶端開啟 127.0.0.1:10000 的監聽埠，用瀏覽器連本機的 127.0.0.1:10000 就會跳到伺服器端的 10000 埠。一直以來，我都以為 ssh -L （Local Port Forwarding）方式只會在本機端綁定 127.0.0.1:xxxx的情形。不過，最近因為要解決一個臨時伺服器的設定問題，才發現原來不是只能綁在 127.0.0.1 上。網路架構：外部 public ip：123.123.123.0/24 內部 private ip：10.1.0.0/16 內部切出多個 class C的網路區域，其中 10.1.1.0/24 是 ServerZone，在外面用 DNAT 的方式將服務要求導入內部的伺服器。其他 10.1.n.0/24 是各個區域內容IP，只能 NAT 出去，外部不能訪問到。需求： Server-01：10.1.1.2，Server-02：10.1.20.2 Server-01在 ServerZone 內，從外部可以訪問，Server-02 在 PrivateZone 內，外部連不到。ServerZone 和 PrivateZone 彼此可以 SSH 互連。現在希望可以在不變動兩台 Server 的 IP 區域，讓 Server-02可以被外部訪問到。最簡單的方式就是先登 Server-01後，再從 Server-01 terminal 登到 Server-02上。但是需求是，...

閱讀完整內容

CI 4.2.0 之後新增的 Auto Routing 設定

一直以來都是利用 compose 來創建 CI4 的網站架構，在 CI4 更新到 4.2.0 版本之後，原本 function ***() 為作路徑的方式突然不能使用了，找了一下官網的說明之後，才發現有了新的 auto-routing 的設定。 Enable Auto Routing 開啟 auto-routing 的設定：修改 app/Config/Routes.php 設定 $routes->setAutoRoute(true) Enable Auto Routing (Improved) 基本上開啟上面的 auto-routing 的設定後，CI4 的路徑就會和以前一樣用 function name 來自動路由，但官網有建立還要再開啟 auto-routing(improved) 這個設定。修改 app/Config/Features.php 開啟 auto-routing(improved)後，function 的名稱須要再加上 http method，例如 getIndex()、postUpdate()，function 名稱配合 http method 才能正常執行，以增加網路安全，避免惡意的嚐試。

閱讀完整內容

IPv6 系列（五）：KEA DHCP SERVER

學校在純 IPv4 的環境時，採用 ISC-DHCP Server 來發放教學區域的私有 IP（10.10.xxx.xxx），並使用閘道 Fortigate 作 NAT 連接到 Internet。採用 IPv6 後，原本是要使用 ISC-DHCPv6 來作為 IPv6 發放，結果 ISC-DHCPv6 架不起來。不過在查詢 DHCPv6 的過程中，發現 ISC（Internet System Consortium）已開發出下一代的 DHCP Server：Kea Dhcp Server。 Kea Dhcp Server 官網： https://www.isc.org/kea/ 摘錄 https://www.itread01.com/content/1548712273.html 對 Kea DHCP Server 的介紹： Kea DHCP Server 由 Internet Systems Consortium(ISC) 開發的開源 DHCPv4/DHCPv6 伺服器。Kea DHCP Server 是一個高效能的，可擴充套件的DHCP伺服器引擎。通過hooks library可以很容易的修改和擴充套件。 Kea包含的功能元件 keactrl — kea伺服器啟動，停止，配置重置和狀態查詢元件 kea-dhcp4 — DHCPv4伺服器程式，用於響應客戶端的DHCPv4查詢。 kea-dhcp6 — DHCPv6伺服器程式，用於響應客戶端的DHCPv6查詢。 kea-dhcp-ddns — DHCP動態DNS程式.這個程式在DHCP伺服器和DNS伺服器之間扮演者調解者。它接收來自DHCP伺服器域名更新請求和傳送DNS更新訊息給DNS伺服器。也就是說DDNS捕獲使用者每次變化的IP地址，然後將其與域名相對應，這樣其他上網使用者就可以通過域名來進行交流。而最終客戶所要記憶的全部，就是記住動態域名商給予的域名即可，而不用去管他們是如何實現的。軟體執行環境加密庫Botan或者OpenSSL log4cplus 1.0.3+ 如果有需要mysql，需要MySQL headers and libraries。可選(postgresql、cassandra類同) 選用 Kea DHCP Server 的原因，...

閱讀完整內容

etuser

搜尋此網誌