Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
lpi2:bind-dnssec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung 		Vorherige Überarbeitung
Nächste Überarbeitung Beide Seiten, nächste Überarbeitung
lpi2:bind-dnssec [2014/06/03 18:55]
ingo_wichmann [dig] 		lpi2:bind-dnssec [2016/11/27 22:45]
ingo_wichmann [bind automatisch ZSK signieren lassen]
Zeile 14: Zeile 14:
  
 ====== Eigene Zone signieren ====== ====== Eigene Zone signieren ======
 +===== von Hand signieren =====
 +Debian:
   cd /​var/​lib/​named   cd /​var/​lib/​named
 +
 +Centos:
 +  cd /var/named
 +
 +  mkdir keys
 +  chown named keys
  
 zone-signing key erzeugen: zone-signing key erzeugen:
 ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]])) ​ ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]])) ​
  
-  dnssec-keygen -a RSASHA256 ​-b 1024 -n ZONE example.com +  dnssec-keygen -a RSASHA512 ​-b 1536 -n ZONE example.com ​-K keys 
-  ls Kexample.com.* +  ls keys/Kexample.com.* 
-  less Kexample.com.*.key+  less keys/Kexample.com.*.key
  
 key-signing key erzeugen: key-signing key erzeugen:
-  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com +  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com ​-K keys 
-  ls Kexample.com.*+  ls keys/Kexample.com.*
  
-Öffentliche ​Schlüssen ​zu Zone hinzufügen:​ +Öffentliche ​Schlüssel ​zu Zone hinzufügen:​ 
-  cat Kexample.com.+008+*.key >> example.com+  cat keys/Kexample.com.+008+*.key >> example.com
  
 Signierte Zonendatei erzeugen: (30 Tage gültig) Signierte Zonendatei erzeugen: (30 Tage gültig)
-  dnssec-signzone -o example.com -k Kexample.com.+008+52216.private example.com Kexample.com.+008+12678.private+  dnssec-signzone -o example.com -k keys/Kexample.com.+008+52216.private example.com ​keys/Kexample.com.+008+12678.private
   less example.com.signed   less example.com.signed
  
Zeile 38: Zeile 46:
   * Diesen Server als hidden primary konfigurieren   * Diesen Server als hidden primary konfigurieren
   * wöchentlichen cron-job zum Signieren anlegen   * wöchentlichen cron-job zum Signieren anlegen
-  ​Bind 9.9 kann seine Zonen selbst ​signieren.+ 
 +===== bind automatisch ZSK signieren lassen ===== 
 +Debian: 
 +  cd /​var/​lib/​named 
 + 
 +Centos: (( möglicherweise kann man das  
 +  setenforce Permissive 
 +mit  
 +  restorecon -rv /var/named  
 +vermeiden. Noch nicht gestestet )) 
 +  cd /​var/​named 
 +  setenforce Permissive 
 + 
 +  mkdir keys 
 +  chown named keys master 
 + 
 +zone-signing key erzeugen: ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]]))  
 + 
 +  dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys 
 +  ls keys/​Kexample.com.* 
 +  less keys/​Kexample.com.*.key 
 + 
 +key-signing key erzeugen: 
 +  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys 
 +  ls keys/​Kexample.com.* 
 + 
 +Zone signieren
 +  rndc sign 
 + 
 +  dig dnskey @127.0.0.1 test +short 
 +  dig rrsig @127.0.0.1 test +short 
 + 
 +inline: 
 + 
 +<file txt /​etc/​bind/​named.conf.local>​ 
 +zone "​linuxhotel.de"​ { 
 +  type master; 
 +  file "​master/​linuxhotel.de"; 
 +  key-directory "​keys";​ 
 +  inline-signing yes; 
 +  auto-dnssec maintain; 
 +
 +</​file>​
  
 ====== Doku und Links ====== ====== Doku und Links ======
lpi2/bind-dnssec.txt · Zuletzt geändert: 2021/06/05 05:28 von ingo_wichmann

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki