Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- lpi2:bind-dnssec [2014/02/16 13:10]
ingo_wichmann [Doku und Links]
+++ lpi2:bind-dnssec [2016/11/27 22:48]
ingo_wichmann [bind automatisch ZSK signieren lassen]
@@ Zeile 1: / Zeile 1: @@
 ====== dig ======
 Aktuelle root-keys herunterladen:
-  dig . DNSKEY | grep -Ev '^($|;)' > root.keys
+  dig . DNSKEY | egrep -v '^($|;)' > root.keys
 Nameserver abfragen:
@@ Zeile 14: / Zeile 14: @@
 ====== Eigene Zone signieren ======
-Eigenen Schlüssel erzeugen: ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie))
+===== von Hand signieren =====
+Debian:
+  cd /var/lib/named
-  dnssec-keygen -a RSASHA1 -b 1024 -n ZONE example.com
+Centos:
+  cd /var/named
+  mkdir keys
+  chown named keys
+zone-signing key erzeugen:
+((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]]))
+  dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys
+  ls keys/Kexample.com.*
+  less keys/Kexample.com.*.key
+key-signing key erzeugen:
+  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys
+  ls keys/Kexample.com.*
+Öffentliche Schlüssel zu Zone hinzufügen:
+  cat keys/Kexample.com.+008+*.key >> example.com
+Signierte Zonendatei erzeugen: (30 Tage gültig)
+  dnssec-signzone -o example.com -k keys/Kexample.com.+008+52216.private example.com keys/Kexample.com.+008+12678.private
+  less example.com.signed
+Todo:
+  * Diesen Server als hidden primary konfigurieren
+  * wöchentlichen cron-job zum Signieren anlegen
+===== bind automatisch ZSK signieren lassen =====
+Debian:
+  cd /var/lib/named
+Centos: (( möglicherweise kann man das
+  setenforce Permissive
+mit
+  restorecon -rv /var/named
+vermeiden. Noch nicht gestestet ))
+  cd /var/named
+  setenforce Permissive
+  mkdir keys
+  chown named keys master
+zone-signing key erzeugen: ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]]))
+  dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys
+  ls keys/Kexample.com.*
+  less keys/Kexample.com.*.key
+key-signing key erzeugen:
+  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys
+  ls keys/Kexample.com.*
+Zone signieren:
+  rndc sign
+  dig dnskey @127.0.0.1 test +short
+  dig rrsig @127.0.0.1 test +short
+===== inline-signing =====
+<file txt /etc/bind/named.conf.local>
+zone "linuxhotel.de" {
+  type master;
+  file "master/linuxhotel.de";
+  key-directory "keys";
+  inline-signing yes;
+  auto-dnssec maintain;
+}
+</file>
+  rndc reconfig
+  rndc sign linuxhotel.de
+  ls -Rlrt /var/cache/bind
+  rndc sync linuxhotel.de
+  named-compilezone -f RAW -o - linuxhotel.de linuxhotel.de.signed | less
 ====== Doku und Links ======
   * http://dnssectest.sidnlabs.nl/
   * http://test.dnssec-or-not.org/
-  * file://usr/share/doc/bind9-doc/arm/Bv9ARM.ch04.html#DNSSEC
+  * file:///usr/share/doc/bind9-doc/arm/Bv9ARM.ch04.html#DNSSEC

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge