Mise en place de l'enregistrement DNS (sous bind) DANE ( TLSA).
Pré-requis :
- bind9
- DNSSEC fonctionnel
- certificats du domaine (racine) /zone ( https )
Il faut installer l'outil hash-slinger
taper la commande : tlsa --create --selector 1 --certificate </chemin/de/votre/certificat/de/votre/domaine> <nom_de_votre_domaine> cela va générer un enregistrement DNS TLSA à mettre dans votre configuration de votre zone :
_443._tcp.<votre_domaine>. 86400 IN TLSA 3 1 1 737278F40077A0C50FC5CB67D2C7D11C931A9FC05F4E02BB7B96C8A8 D09B8CBE
Mettez à jour votre server DNS
Pour la vérification faire une requête DNS avec dig comme :
dig _443._tcp.<votre_domaine>. TLSA