Предполагается что у нас уже есть функционирующий DNS сервер с DNSSEC.
Нам понадобится сертификат на наш домен. Его нам выдали при получении сертификата у регистратора. Это файл с расширением crt. Регистратор может также выдавать промежуточные сертификаты, но нам нужен только на наш домен.
Идем на сайт https://www.huque.com/bin/gen_tlsa либо на любой другой онлайн генератор TLSA записи, например, https://ssl-tools.net/tlsa-generator
Выставляем параметры как на картинке выше, вставляем сертификат из crt файла и жмем Generate.
Сгенерированную запись добавляем в файл зоны вашего DNS сервера.
Через некоторое время можно проверить правильность проделанного на верификационных сайтах:
https://www.huque.com/bin/danecheck
https://check.sidnlabs.nl/dane/
https://dane.sys4.de/
или установить валидатор для браузера
https://www.dnssec-validator.cz/
Be the first to comment on "Настройка DANE TLSA"