Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
lpi2:bind-dnssec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung 		Vorherige Überarbeitung
Nächste Überarbeitung Beide Seiten, nächste Überarbeitung
lpi2:bind-dnssec [2016/11/27 22:45]
ingo_wichmann [bind automatisch ZSK signieren lassen] 		lpi2:bind-dnssec [2019/12/18 00:28]
ingo_wichmann
Zeile 16: Zeile 16:
 ===== von Hand signieren ===== ===== von Hand signieren =====
 Debian: Debian:
-  cd /var/lib/named+  cd /var/cache/bind 
 +  mkdir keys 
 +  chown bind keys
  
 Centos: Centos:
   cd /var/named   cd /var/named
- 
   mkdir keys   mkdir keys
   chown named keys   chown named keys
  
-zone-signing key erzeugen: +key-signing key (KSK) erzeugen: ​(grösserer Schlüssel und KSK-Flag) ​((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]] )) 
-((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]])) ​+
  
-  dnssec-keygen -a RSASHA512 ​-b 1536 -n ZONE example.com ​-K keys+  dnssec-keygen -a RSASHA256 ​-b 2560 -n ZONE -K keys/ -f KSK example.com
   ls keys/​Kexample.com.*   ls keys/​Kexample.com.*
-  less keys/​Kexample.com.*.key 
  
-key-signing key erzeugen: +-> Schlüssel ID-Nummer von KSK ZSK notieren (5-stellige Nummer) 
-  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com ​-K keys+ 
 +zone-signing key erzeugen: 
 +  dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K keys/ example.com
   ls keys/​Kexample.com.*   ls keys/​Kexample.com.*
 +  less keys/​Kexample.com.*.key
 +
 +-> Schlüssel ID-Nummer von ZSK notieren (5-stellige Nummer)
 +
 +Rechte auf den Schlüsseldateien anpassen:
 +  chown bind keys/*
  
 Öffentliche Schlüssel zu Zone hinzufügen:​ Öffentliche Schlüssel zu Zone hinzufügen:​
-  cat keys/​Kexample.com.+008+*.key >> example.com+  cat keys/​Kexample.com.+008+*.key >> ​master/example.com
  
 Signierte Zonendatei erzeugen: (30 Tage gültig) Signierte Zonendatei erzeugen: (30 Tage gültig)
-  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+52216.private example.com keys/​Kexample.com.+008+12678.private +  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+${KSK-ID}.private ​master/example.com keys/​Kexample.com.+008+${ZSK-ID}.private 
-  less example.com.signed+  chown bind:bind master/​example.com.signed 
 +  less master/example.com.signed
  
-Todo:+Signierte Zonendatei einbinden: 
 +<file txt /​etc/​bind/​named.conf.local>​ 
 +zone "​example.com"​ { 
 +… 
 +  file "​master/​example.com.signed";​ 
 +… 
 +}; 
 +</​file>​
  
-  * Diesen Server als hidden primary konfigurieren +Konfiguration prüfen und BIND 9 neu laden: 
-  ​* wöchentlichen cron-job zum Signieren anlegen+  ​named-checkconf -z 
 +  rndc reload 
 + 
 +Testen: 
 +  dig @localhost example.com SOA +dnssec +mu 
 +-> muss RRSIG enthalten 
 + 
 +===== DS-Record hinterlegen ===== 
 +DS-Record erstellen:​ 
 +  dnssec-dsfromkey keys/​Kexample.com.+008+${KSK-ID}.key 
 +  dnssec-dsfromkey keys/​Kexample.com.+008+${KSK-ID}.key > ~/​ds-example.com 
 + 
 +Eintrag bei Registry bzw. übergeordneter Domain hinterlegen 
 + 
 +Testen: 
 +  dig @1.1.1.1 soa example.com +dnssec +mu 
 +-> ad-Flag muss gesetzt sein
  
 ===== bind automatisch ZSK signieren lassen ===== ===== bind automatisch ZSK signieren lassen =====
 Debian: Debian:
-  cd /var/lib/named+  cd /var/cache/bind
  
-Centos: ​(( möglicherweise kann man das  +Schritte wie bei [[#von Hand signieren]],​ aber signierte Zonendatei nicht mehr (selbsterzeugen, sondern ab da folgende Schritte:
-  setenforce Permissive +
-mit  +
-  restorecon -rv /var/named  +
-vermeiden. Noch nicht gestestet ​)+
-  cd /​var/​named +
-  setenforce Permissive+
  
-  mkdir keys +Zonendatei von bind signieren lassen: 
-  ​chown ​named keys master+<file txt /etc/bind/named.conf.local>​ 
 +zone "​example.com"​ { 
 +… 
 +  file "master/​example.com";​ 
 +  auto-dnssec maintain; 
 +  inline-signing yes; 
 +… 
 +}; 
 +</​file>​
  
-zone-signing key erzeugen: ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]])) ​+Konfiguration prüfen und BIND 9 neu laden: 
 +  named-checkconf -z 
 +  rndc reconfig
  
-  dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys +Zone (erstmalig) signieren: 
-  ​ls keys/​Kexample.com.* +  ​rndc sign example.com
-  less keys/​Kexample.com.*.key+
  
-key-signing key erzeugen+Testen
-  ​dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys +  ​dig @localhost ​example.com ​SOA +dnssec +mu 
-  ls keys/​Kexample.com.*+-> muss RRSIG enthalten
  
-Zone signieren: 
-  rndc sign 
  
-  ​dig dnskey @127.0.0.1 test +short +  ​rndc sync linuxhotel.de 
-  ​dig rrsig @127.0.0.1 test +short+  ​named-compilezone -f RAW -o - example.com master/​example.com.signed | less
  
-inline: 
- 
-<file txt /​etc/​bind/​named.conf.local>​ 
-zone "​linuxhotel.de"​ { 
-  type master; 
-  file "​master/​linuxhotel.de";​ 
-  key-directory "​keys";​ 
-  inline-signing yes; 
-  auto-dnssec maintain; 
-} 
-</​file>​ 
  
 ====== Doku und Links ====== ====== Doku und Links ======
lpi2/bind-dnssec.txt · Zuletzt geändert: 2021/06/05 05:28 von ingo_wichmann

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki