Benutzer-Werkzeuge
lpi2:bind-dnssec
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung | Nächste Überarbeitung Beide Seiten, nächste Überarbeitung | ||
|
lpi2:bind-dnssec [2016/11/27 22:48] ingo_wichmann [bind automatisch ZSK signieren lassen] |
lpi2:bind-dnssec [2019/12/17 23:41] ingo_wichmann [von Hand signieren] |
||
|---|---|---|---|
| Zeile 16: | Zeile 16: | ||
| ===== von Hand signieren ===== | ===== von Hand signieren ===== | ||
| Debian: | Debian: | ||
| - | cd /var/lib/named | + | cd /var/cache/bind |
| + | mkdir keys | ||
| + | chown bind keys | ||
| Centos: | Centos: | ||
| cd /var/named | cd /var/named | ||
| - | |||
| mkdir keys | mkdir keys | ||
| chown named keys | chown named keys | ||
| - | zone-signing key erzeugen: | + | key-signing key (KSK) erzeugen: (grösserer Schlüssel und KSK-Flag) ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]] )) |
| - | ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]])) | + | |
| - | dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys | + | dnssec-keygen -a RSASHA256 -b 2560 -n ZONE -K keys/ -f KSK example.com |
| ls keys/Kexample.com.* | ls keys/Kexample.com.* | ||
| - | less keys/Kexample.com.*.key | ||
| - | key-signing key erzeugen: | + | -> Schlüssel ID-Nummer von KSK ZSK notieren (5-stellige Nummer) |
| - | dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys | + | |
| + | zone-signing key erzeugen: | ||
| + | dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K keys/ example.com | ||
| ls keys/Kexample.com.* | ls keys/Kexample.com.* | ||
| + | less keys/Kexample.com.*.key | ||
| + | |||
| + | -> Schlüssel ID-Nummer von ZSK notieren (5-stellige Nummer) | ||
| + | |||
| + | Rechte auf den Schlüsseldateien anpassen: | ||
| + | chown bind keys/* | ||
| Öffentliche Schlüssel zu Zone hinzufügen: | Öffentliche Schlüssel zu Zone hinzufügen: | ||
| - | cat keys/Kexample.com.+008+*.key >> example.com | + | cat keys/Kexample.com.+008+*.key >> master/example.com |
| Signierte Zonendatei erzeugen: (30 Tage gültig) | Signierte Zonendatei erzeugen: (30 Tage gültig) | ||
| - | dnssec-signzone -o example.com -k keys/Kexample.com.+008+52216.private example.com keys/Kexample.com.+008+12678.private | + | dnssec-signzone -o example.com -k keys/Kexample.com.+008+${KSK-ID}.private master/example.com keys/Kexample.com.+008+${ZSK-ID}.private |
| - | less example.com.signed | + | |
| + | less master/example.com.signed | ||
| + | |||
| + | <file txt /etc/bind/named.conf.local> | ||
| + | zone "example.com" { | ||
| + | … | ||
| + | file "master/example.com.signed"; | ||
| + | … | ||
| + | }; | ||
| + | </file> | ||
| Todo: | Todo: | ||
lpi2/bind-dnssec.txt · Zuletzt geändert: 2021/06/05 05:28 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
