Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


lpi2:bind-dnssec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung
Vorherige Überarbeitung
Letzte Überarbeitung Beide Seiten, nächste Überarbeitung
lpi2:bind-dnssec [2014/02/16 17:51]
ingo_wichmann
lpi2:bind-dnssec [2019/12/18 00:31]
ingo_wichmann [von Hand signieren]
Zeile 1: Zeile 1:
 ====== dig ====== ====== dig ======
 Aktuelle root-keys herunterladen:​ Aktuelle root-keys herunterladen:​
-  dig . DNSKEY | grep -Ev '​^($|;​)'​ > root.keys+  dig . DNSKEY | egrep -'​^($|;​)'​ > root.keys
  
 Nameserver abfragen: Nameserver abfragen:
Zeile 14: Zeile 14:
  
 ====== Eigene Zone signieren ====== ====== Eigene Zone signieren ======
-Eigenen Schlüssel ​erzeugen: ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: haveged)) ​+===== von Hand signieren ===== 
 +Debian: 
 +  cd /​var/​cache/​bind 
 +  mkdir keys 
 +  chown bind keys 
 + 
 +key-signing key (KSK) erzeugen: ​(grösserer Schlüssel und KSK-Flag) ​((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]] ​))  
 + 
 +  dnssec-keygen -a RSASHA256 -b 2560 -n ZONE -K keys/ -f KSK example.com 
 +  ls keys/​Kexample.com.* 
 + 
 +-> Schlüssel ID-Nummer von KSK ZSK notieren (5-stellige Nummer) 
 + 
 +zone-signing key erzeugen: 
 +  dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K keys/ example.com 
 +  ls keys/​Kexample.com.* 
 +  less keys/​Kexample.com.*.key 
 + 
 +-> Schlüssel ID-Nummer von ZSK notieren (5-stellige Nummer) 
 + 
 +Rechte auf den Schlüsseldateien anpassen: 
 +  chown bind keys/* 
 + 
 +Öffentliche Schlüssel zu Zone hinzufügen:​ 
 +  cat keys/​Kexample.com.+008+*.key >> master/​example.com 
 + 
 +Signierte Zonendatei erzeugen: (30 Tage gültig) 
 +  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+${KSK-ID}.private master/​example.com keys/​Kexample.com.+008+${ZSK-ID}.private 
 +  chown bind:bind master/​example.com.signed 
 +  less master/​example.com.signed 
 + 
 +Signierte Zonendatei einbinden:​ 
 +<file txt /​etc/​bind/​named.conf.local>​ 
 +zone "​example.com"​ { 
 +… 
 +  file "​master/​example.com.signed";​ 
 +… 
 +}; 
 +</​file>​ 
 + 
 +Konfiguration prüfen und BIND 9 neu laden: 
 +  named-checkconf -z 
 +  rndc reload 
 + 
 +Testen: 
 +  dig @localhost example.com SOA +dnssec +mu 
 +-> muss RRSIG enthalten 
 + 
 +===== DS-Record hinterlegen ===== 
 +DS-Record erstellen:​ 
 +  dnssec-dsfromkey keys/​Kexample.com.+008+${KSK-ID}.key 
 +  dnssec-dsfromkey keys/​Kexample.com.+008+${KSK-ID}.key > ~/​ds-example.com 
 + 
 +Eintrag bei Registry bzw. übergeordneter Domain hinterlegen 
 + 
 +Testen: 
 +  dig @1.1.1.1 soa example.com +dnssec +mu 
 +-> ad-Flag muss gesetzt sein 
 + 
 +===== bind automatisch ZSK signieren lassen ===== 
 +Debian: 
 +  cd /​var/​cache/​bind 
 + 
 +Schritte wie bei [[#von Hand signieren]],​ aber signierte Zonendatei nicht mehr (selbst) erzeugen, sondern ab da folgende Schritte: 
 + 
 +Zonendatei von bind signieren lassen: 
 +<file txt /​etc/​bind/​named.conf.local>​ 
 +zone "​example.com"​ { 
 +… 
 +  file "​master/​example.com";​ 
 +  auto-dnssec maintain; 
 +  inline-signing yes; 
 +… 
 +}; 
 +</​file>​ 
 + 
 +Konfiguration prüfen und BIND 9 neu laden: 
 +  named-checkconf -z 
 +  rndc reconfig 
 + 
 +Zone (erstmalig) signieren:​ 
 +  rndc sign example.com 
 + 
 +Testen: 
 +  dig @localhost example.com SOA +dnssec +mu 
 +-> muss RRSIG enthalten 
 + 
 + 
 +  rndc sync linuxhotel.de 
 +  named-compilezone -f RAW -o - example.com master/​example.com.signed | less
  
-  dnssec-keygen -a RSASHA1 -b 1024 -n ZONE example.com 
  
 ====== Doku und Links ====== ====== Doku und Links ======
   * http://​dnssectest.sidnlabs.nl/​   * http://​dnssectest.sidnlabs.nl/​
   * http://​test.dnssec-or-not.org/​   * http://​test.dnssec-or-not.org/​
-  * file://​usr/​share/​doc/​bind9-doc/​arm/​Bv9ARM.ch04.html#​DNSSEC+  * file:///​usr/​share/​doc/​bind9-doc/​arm/​Bv9ARM.ch04.html#​DNSSEC
  
lpi2/bind-dnssec.txt · Zuletzt geändert: 2021/06/05 05:28 von ingo_wichmann