Benutzer-Werkzeuge
lpi2:bind-dnssec
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Letzte Überarbeitung Beide Seiten, nächste Überarbeitung | ||
|
lpi2:bind-dnssec [2014/02/19 17:46] ingo_wichmann [Eigene Zone signieren] |
lpi2:bind-dnssec [2019/12/18 00:31] ingo_wichmann [von Hand signieren] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== dig ====== | ====== dig ====== | ||
| Aktuelle root-keys herunterladen: | Aktuelle root-keys herunterladen: | ||
| - | dig . DNSKEY | grep -Ev '^($|;)' > root.keys | + | dig . DNSKEY | egrep -v '^($|;)' > root.keys |
| Nameserver abfragen: | Nameserver abfragen: | ||
| Zeile 13: | Zeile 13: | ||
| -> "Yes, you are using DNSSEC" | -> "Yes, you are using DNSSEC" | ||
| + | ====== Eigene Zone signieren ====== | ||
| + | ===== von Hand signieren ===== | ||
| + | Debian: | ||
| + | cd /var/cache/bind | ||
| + | mkdir keys | ||
| + | chown bind keys | ||
| + | key-signing key (KSK) erzeugen: (grösserer Schlüssel und KSK-Flag) ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]] )) | ||
| + | dnssec-keygen -a RSASHA256 -b 2560 -n ZONE -K keys/ -f KSK example.com | ||
| + | ls keys/Kexample.com.* | ||
| - | ===== Lösung mit key-signing key ===== | + | -> Schlüssel ID-Nummer von KSK ZSK notieren (5-stellige Nummer) |
| - | cd /var/lib/named | + | |
| zone-signing key erzeugen: | zone-signing key erzeugen: | ||
| - | dnssec-keygen -a RSASHA256 -b 1024 -n ZONE example.com | + | dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K keys/ example.com |
| - | ls Kexample.com.* | + | ls keys/Kexample.com.* |
| - | less Kexample.com.*.key | + | less keys/Kexample.com.*.key |
| - | key-signing key erzeugen: | + | -> Schlüssel ID-Nummer von ZSK notieren (5-stellige Nummer) |
| - | dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com | + | |
| - | ls Kexample.com.* | + | |
| - | Öffentliche Schlüssen zu Zone hinzufügen: | + | Rechte auf den Schlüsseldateien anpassen: |
| - | cat Kexample.com.+008+*.key >> example.com | + | chown bind keys/* |
| - | Signierte Zonendatei erzeugen: | + | Öffentliche Schlüssel zu Zone hinzufügen: |
| - | dnssec-signzone -o example.com -k Kexample.com.+008+52216.private example.com Kexample.com.+008+12678.private | + | cat keys/Kexample.com.+008+*.key >> master/example.com |
| - | less example.com.signed | + | |
| + | Signierte Zonendatei erzeugen: (30 Tage gültig) | ||
| + | dnssec-signzone -o example.com -k keys/Kexample.com.+008+${KSK-ID}.private master/example.com keys/Kexample.com.+008+${ZSK-ID}.private | ||
| + | chown bind:bind master/example.com.signed | ||
| + | less master/example.com.signed | ||
| + | |||
| + | Signierte Zonendatei einbinden: | ||
| + | <file txt /etc/bind/named.conf.local> | ||
| + | zone "example.com" { | ||
| + | … | ||
| + | file "master/example.com.signed"; | ||
| + | … | ||
| + | }; | ||
| + | </file> | ||
| + | |||
| + | Konfiguration prüfen und BIND 9 neu laden: | ||
| + | named-checkconf -z | ||
| + | rndc reload | ||
| + | |||
| + | Testen: | ||
| + | dig @localhost example.com SOA +dnssec +mu | ||
| + | -> muss RRSIG enthalten | ||
| + | |||
| + | ===== DS-Record hinterlegen ===== | ||
| + | DS-Record erstellen: | ||
| + | dnssec-dsfromkey keys/Kexample.com.+008+${KSK-ID}.key | ||
| + | dnssec-dsfromkey keys/Kexample.com.+008+${KSK-ID}.key > ~/ds-example.com | ||
| + | |||
| + | Eintrag bei Registry bzw. übergeordneter Domain hinterlegen | ||
| + | |||
| + | Testen: | ||
| + | dig @1.1.1.1 soa example.com +dnssec +mu | ||
| + | -> ad-Flag muss gesetzt sein | ||
| + | |||
| + | ===== bind automatisch ZSK signieren lassen ===== | ||
| + | Debian: | ||
| + | cd /var/cache/bind | ||
| + | |||
| + | Schritte wie bei [[#von Hand signieren]], aber signierte Zonendatei nicht mehr (selbst) erzeugen, sondern ab da folgende Schritte: | ||
| + | |||
| + | Zonendatei von bind signieren lassen: | ||
| + | <file txt /etc/bind/named.conf.local> | ||
| + | zone "example.com" { | ||
| + | … | ||
| + | file "master/example.com"; | ||
| + | auto-dnssec maintain; | ||
| + | inline-signing yes; | ||
| + | … | ||
| + | }; | ||
| + | </file> | ||
| + | |||
| + | Konfiguration prüfen und BIND 9 neu laden: | ||
| + | named-checkconf -z | ||
| + | rndc reconfig | ||
| + | |||
| + | Zone (erstmalig) signieren: | ||
| + | rndc sign example.com | ||
| + | |||
| + | Testen: | ||
| + | dig @localhost example.com SOA +dnssec +mu | ||
| + | -> muss RRSIG enthalten | ||
| + | |||
| + | |||
| + | rndc sync linuxhotel.de | ||
| + | named-compilezone -f RAW -o - example.com master/example.com.signed | less | ||
| - | //Bind 9.9 kann seine Zonen selbst signieren.// | ||
| ====== Doku und Links ====== | ====== Doku und Links ====== | ||
| * http://dnssectest.sidnlabs.nl/ | * http://dnssectest.sidnlabs.nl/ | ||
| * http://test.dnssec-or-not.org/ | * http://test.dnssec-or-not.org/ | ||
| - | * file://usr/share/doc/bind9-doc/arm/Bv9ARM.ch04.html#DNSSEC | + | * file:///usr/share/doc/bind9-doc/arm/Bv9ARM.ch04.html#DNSSEC |
lpi2/bind-dnssec.txt · Zuletzt geändert: 2021/06/05 05:28 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
