6. Other

6.1. Создание TLSA записи

Сгененерировать запись можно утилитой hash-slinger или на одном из многочисленных онлайн сервисов. Например на этом ssl-tools.net/tlsa-generator

Рассмотрим вариант генерации записи при помощи утилиты hash-slinger:

tlsa --create --usage 3 --mtype 1 --selector 1 --certificate ./rtfm.emc.crt rtfm.emc

Ключ usage — cпособ использования сертификата TLS-сервера:

  • 0 — ограничение CA — TLSA содержит информацию о сертификате удостоверяющего центра (УЦ). УЦ должен присутствовать в цепочке валидации при установлении TLS-соединения;

  • 1 — служба ограничения сертификата — TLSA содержит информацию о сертификате сервера;

  • 2 — доверенный источник — TLSA содержит информацию о корневом сертификате;

  • 3 — сертификат домена — TLSA содержит информацию о сертификате сервера. Этот сервер должен быть конечным сертификатом в цепочке валидации. Такой способ позволяет использовать самоподписанные сертификаты.

Ключ mtype — какая часть сертификата используется при сопоставлении его содержимого со значением TLSA:

  • 0 — полный сертификат;

  • 1 — открытый ключ.

Ключ selector — данные сертификата:

  • 0 — хеш не используется — полное точное совпадение;

  • 1 — SHA-256 — совпадение значений хеш-функции SHA-256;

  • 2 — SHA-512 — совпадение значений хеш-функции SHA-512.

Ключ certificate принимает файл сертификата.

Последний параметр (rtfm.emc) указывается без ключа, это имя домена для которого вы делаете запись.

После выполнения команды на консоль будут выведены данные для формирования TLSA записи:

Got a certificate for rtfm.emc. with Subject: /C=RU/ST=RU/L=Moscow/O=Postmet/OU=POSTMET/CN=rtfm.emc
_443._tcp.rtfm.emc. IN TLSA 3 1 1 aca2d0e69e13223580a9eb4b2a4435c5463e81db8cfc2fc69554a90ad552a3a6

Далее формируем запись TLSA для отправки в БЧ Emercoin, со сроком хранения 5000 дней:

emercoin-cli name_new "dns:rtfm.emc" "A=208.87.98.37|AAAA=2a0b:7080:20::1:2c4e|TLSA=3:1:1:aca2d0e69e13223580a9eb4b2a4435c5463e81db8cfc2fc69554a90ad552a3a6|TTL=7200" 5000
Note
Если домен уже существует в БЧ, используйте ключ name_update.

После успешного внесения записи, вы можете проверить что DNS сервер отдает ее корректно. Выполните команду:

dig +short _443._tcp.rtfm.emc TLSA

В результате выполнения вы должны получить параметры и хеш сертификата:

3 1 1 aca2d0e69e13223580a9eb4b2a4435c5463e81db8cfc2fc69554a90a d552a3a6

6.2. Генерация запроса CSR для Postmet