4 203
modifications
(→TLSA) |
|||
Ligne 9 : | Ligne 9 : | ||
=TLSA= | =TLSA= | ||
==Usage Field== | |||
* Usage 0 (PKIX-TA: Certificate Authority Constraint) : Permet de spécifier une CA public autorisé a générer des certificats pour votre domaine. Si une autre CA génère un certificat pour votre domaine, ce certificat sera considéré invalide (du point de vue de DANE). | |||
* Usage 1 (PKIX-EE: Service Certificate Constraint) : Permet de spécifier quel certificat serveur est valide. La chaine de certification sera tout de même vérifiée (et doit être valide). | |||
* Usage 2 (DANE-TA: Trust Anchor Assertion) : Permet de spécifier sa propre CA (non public ; générée et gérée soit même) comme étant valide pour ce domaine. | |||
* Usage 3 (DANE-EE: Domain Issued Certificate) : Permet de spécifier directement un certificat serveur même en dehors de toute chaine de certification. Aucune chaine de certification n'est nécessaire dans ce mode. | |||
==Selector Field== | |||
==Matching-Type Field== | |||
==Hash-slinger== | |||
<pre>tlsa --create --port 443 --protocol tcp --usage 3 --mtype 2 --certificate /etc/ssl/yourca/yourcert.pem yourserv.domain.tld.</pre> | <pre>tlsa --create --port 443 --protocol tcp --usage 3 --mtype 2 --certificate /etc/ssl/yourca/yourcert.pem yourserv.domain.tld.</pre> | ||