TLSA DANE und LetsEncrypt

Hallo Zusammen,
hat schon jemand DANE mit LetsEncrypt zum laufen gebracht, wenn ja wie muss ich den TLSA Record erstellen?
Gruß
Parick
 

maxlin1990

Blog Benutzer
Wichtig ist auch noch, dass man nicht bei jedem Erneuerungsintervall einen neuen privaten Schlüssel generiert weil sich dann auch der öffentliche Schlüssel im DNS ändern muss.
 

tessa

Vorsicht Ätzend!
Sorry, dass ich diesen Thread aus der Versenkung hole. Dennoch habe ich mich regelmäßig nach Ablauf des Zertifikates geärgert, dass ich das Ersetzen der TLSA-Records bei meinem externen Domain-Provider verpasst habe.

Daher habe ich mir ein kleines Skript gebastelt, damit ich eine Erinnerungs-E-Mail erhalte.

Folgende Kriterien waren für die Erinnerungs-E-Mail maßgeblich:

1. Sollte die "/etc/postfix/postfix.pem geprüft werden, ob sich das Datum geändert hat.
2. Das aktuelle X3-Zertifikat soll gleich mit runtergeladen, der Hash generiert und die lets-encrypt-x3-cross-signed.pem wieder gelöscht werden.
3. Sollten die Records inkl. Hash gleich in den E-Mails stehen, damit ich sie nur rauskopieren muss.

tlsacheck.sh
Bash:
#!/bin/bash
your_email="deine@emailaddy.de"
subject="Wichtig! TLSA-Record muss erneuert werden"
mailtext="WICHTIG!\r\n\r\nDas Postfix-Zertifikat im Ordner /etc/postfix hat ein neues Datum und der TLSA-Record muss erneuert werden!"
certpath="/etc/postfix/postfix.pem"
[[ -z `find $certpath -mmin -60` ]]
if [ $? -eq 0 ]
then
  exit 0
else
echo -e $mailtext | mail $your_email -s "$subject"
wget  https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem && openssl x509 -in lets-encrypt-x3-cross-signed.pem -noout -pubkey | openssl rsa -pubin -outform DER | openssl dgst -sha256 -hex | awk '{print "*._tcp TLSA 2 1 1", $NF}' | mail -s "Output X3-TLSA" $your_email && rm lets-encrypt-x3-cross-signed.pem
openssl x509 -in $certpath -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"' | awk '{print "*._tcp TLSA 3 1 1", $NF}' | mail -s "Output Postfix-TLSA" $your_email
fi
Hinweis: Da ich eine Fallback-Lösung wollte, nutze ich hier die Variante 211 und 311 (Kann ja nach Belieben geändert werden)

Das Skript liegt in meinem root und ich habe den cronjob */30 * * * * ./tlsacheck.sh
dafür eingerichtet, damit ich mindestens einmal die Datumsänderung innerhalb der 60 Minuten erwische.

Ich bin halt etwas vergesslich und drei E-Mails von root fallen mir eben auf. ;)
 
Top