Danke für den Pointer auf mein Blog
Ergänzend sei noch mein DANE-Tutorial hier genannt: https://hitco.at/blog/sicherer…ste-anbieter-dnssec-dane/
Schlüsselpaar alle 60-90 Tage wechseln ist meines Erachtens etwas übervorsichtig und muss nicht sein (siehe meinen Blog-Beitrag der bereits zuvor zitiert wurde).
Falls Du das Schlüsselpaar wechseln willst, dann musst Du - bevor Du es verwendest - jedenfalls rechtzeitig den TLSA-Record für DANE aktualisieren (also ergänzen, alten drinnen belassen und neuen zusätzlich hinzufügen). So rechtzeitig, dass alle Resolver sicher schon den neuen Record erhalten haben (abhängig von Deiner DNS Zonen-Konfiguration). Erst dann darfst Du das Zertifikat produktiv verwenden.
Eine Automatisierung wäre denke ich nicht wirklich schwer, ich würde schematisch so vorgehen:
export CERT=/etc/letsencrypt/live/it-security.eu.org/cert.pem
export UpdateFile=/tmp/dns-update.txt
echo zone it-security.eu.org>$UpdateFile
openssl x509 -in $CERT -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -hex | cut -f2 -d" " | xargs echo "update add _443._tcp.test.it-security.eu.org. 1200 TLSA 3 1 1" >>$UpdateFile
echo send>>$UpdateFile
Das erzeugt ein File /tmp/dns-update.txt mit folgendem Inhalt:
zone it-security.eu.org
update add _443._tcp.test.it-security.eu.org. 1200 TLSA 3 1 1 a46dd6b2cb43b1f32445d1778410a55d1298c712942483aef03c1a6c6f0c16b5
send
Dieses kann mittels nsupdate dann an den Nameserver übergeben werden:
nsupdate -v -d $UpdateFile
Was hier noch fehlt ist, einen TSIG-Key festzulegen und diesen mittels "key" noch im Update-File zu hinterlegen, sonst wird der Nameserver (je nach Konfiguration) das Update nicht zulassen.
Nachtrag: So würde ich bei meinen Nameservern vorgehen. Ob das mit den NetCup Nameservern auch so möglich ist, ist mir nicht bekannt. Kann man bei diesen einen TSIG-Key für automatisierte Updates hinterlegen? Wenn ja, dann würde das denke ich so funktionieren, wenn nein müsste NetCup einen Mechanismus bzw. eine API etc... bereitstellen.