Vytvoření CAA záznamů pro doménu

[McFly]

Zdar lidi, řešil pls někdo podobný příklad? Doména firma.cz, webhostingová prezentace u webhostingové společnosti, která využívá Letsencrypt, zbytek veřejných služeb (mail, intranet, webmail ...) provozuje s vlastním wildcard certifikátem na vlastím železe.

firma.cz + www.firma.cz - LE.ORG
*.firma.cz - OtherCA.ORG

Kód: [Vybrat]

@   IN CAA  0 issue "Letsencrypt.org"
www IN CAA  0 issue "Letsencrypt.org"
@   IN CAA  0 issuewild "OtherCA.org"
Ale co když chci jasně říci, že není možné vytvořit samostatný cert třeba pro mail.firma.cz nebo intranet.firma.cz ? Bude nutné explicitně pro každý hostname (mail, intranet, webmail ...) vytvořit záznam níže? Je má logika správná?

Kód: [Vybrat]

mail      IN CAA  0 issue ";"
intranet  IN CAA  0 issue ";"

[Reklama]

[Ondřej Caletka]

Kód: [Vybrat]

@   IN CAA  0 issue "Letsencrypt.org"
www IN CAA  0 issue "Letsencrypt.org"
@   IN CAA  0 issuewild "OtherCA.org"

Ta pravá strana je pro LE špatně, má tam být malé el.

Ale co když chci jasně říci, že není možné vytvořit samostatný cert třeba pro mail.firma.cz nebo intranet.firma.cz ? Bude nutné explicitně pro každý hostname (mail, intranet, webmail ...) vytvořit záznam níže? Je má logika správná?

Kód: [Vybrat]

mail      IN CAA  0 issue ";"
intranet  IN CAA  0 issue ";"

Ano, je to přesně tak. Autority postupují od vydávaného jména a odebírají části zleva dokud buď nenajdou záznam, nebo dokud jim zbude jen public suffix. Protože webová prezentace bude chtít certifikát pro vrchol zóny (aby fungovala v prohlížečích bez "www.", je skutečně potřeba nastavit odlišné záznamy u každého jména zvlášť.

[McFly]

Perfektní, díky moc. V reálu to mám btw nastaveno správně, ale v příkladu jsem to uvedl s velkými počátečními písmeny, ani nevím proč.