Benutzer-Werkzeuge
lpi2:bind-dnssec
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung | Nächste Überarbeitung Beide Seiten, nächste Überarbeitung | ||
|
lpi2:bind-dnssec [2014/06/03 18:55] ingo_wichmann [dig] |
lpi2:bind-dnssec [2016/03/08 07:37] ingo_wichmann |
||
|---|---|---|---|
| Zeile 14: | Zeile 14: | ||
| ====== Eigene Zone signieren ====== | ====== Eigene Zone signieren ====== | ||
| + | ===== von Hand signieren ===== | ||
| + | Debian: | ||
| cd /var/lib/named | cd /var/lib/named | ||
| + | |||
| + | Centos: | ||
| + | cd /var/named | ||
| + | |||
| + | mkdir keys | ||
| + | chown named keys | ||
| zone-signing key erzeugen: | zone-signing key erzeugen: | ||
| ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]])) | ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]])) | ||
| - | dnssec-keygen -a RSASHA256 -b 1024 -n ZONE example.com | + | dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys |
| - | ls Kexample.com.* | + | ls keys/Kexample.com.* |
| - | less Kexample.com.*.key | + | less keys/Kexample.com.*.key |
| key-signing key erzeugen: | key-signing key erzeugen: | ||
| - | dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com | + | dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys |
| - | ls Kexample.com.* | + | ls keys/Kexample.com.* |
| - | Öffentliche Schlüssen zu Zone hinzufügen: | + | Öffentliche Schlüssel zu Zone hinzufügen: |
| - | cat Kexample.com.+008+*.key >> example.com | + | cat keys/Kexample.com.+008+*.key >> example.com |
| Signierte Zonendatei erzeugen: (30 Tage gültig) | Signierte Zonendatei erzeugen: (30 Tage gültig) | ||
| - | dnssec-signzone -o example.com -k Kexample.com.+008+52216.private example.com Kexample.com.+008+12678.private | + | dnssec-signzone -o example.com -k keys/Kexample.com.+008+52216.private example.com keys/Kexample.com.+008+12678.private |
| less example.com.signed | less example.com.signed | ||
| Zeile 38: | Zeile 46: | ||
| * Diesen Server als hidden primary konfigurieren | * Diesen Server als hidden primary konfigurieren | ||
| * wöchentlichen cron-job zum Signieren anlegen | * wöchentlichen cron-job zum Signieren anlegen | ||
| - | * Bind 9.9 kann seine Zonen selbst signieren. | + | |
| + | ===== bind automatisch ZSK signieren lassen ===== | ||
| + | Debian: | ||
| + | cd /var/lib/named | ||
| + | |||
| + | Centos: (( möglicherweise kann man das | ||
| + | setenforce Permissive | ||
| + | mit | ||
| + | restorecon -rv /var/named | ||
| + | vermeiden. Noch nicht gestestet )) | ||
| + | cd /var/named | ||
| + | setenforce Permissive | ||
| + | |||
| + | mkdir keys | ||
| + | chown named keys master | ||
| + | |||
| + | zone-signing key erzeugen: ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]])) | ||
| + | |||
| + | dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys | ||
| + | ls keys/Kexample.com.* | ||
| + | less keys/Kexample.com.*.key | ||
| + | |||
| + | key-signing key erzeugen: | ||
| + | dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys | ||
| + | ls keys/Kexample.com.* | ||
| + | |||
| + | Zone signieren: | ||
| + | rndc sign | ||
| + | |||
| + | dig dnskey @127.0.0.1 test +short | ||
| + | dig rrsig @127.0.0.1 test +short | ||
| ====== Doku und Links ====== | ====== Doku und Links ====== | ||
lpi2/bind-dnssec.txt · Zuletzt geändert: 2021/06/05 05:28 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
