Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
lpi2:bind-dnssec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung 		Vorherige Überarbeitung
Nächste Überarbeitung Beide Seiten, nächste Überarbeitung
lpi2:bind-dnssec [2016/11/27 22:48]
ingo_wichmann [bind automatisch ZSK signieren lassen] 		lpi2:bind-dnssec [2019/12/18 00:28]
ingo_wichmann
Zeile 16: Zeile 16:
 ===== von Hand signieren ===== ===== von Hand signieren =====
 Debian: Debian:
-  cd /var/lib/named+  cd /var/cache/bind 
 +  mkdir keys 
 +  chown bind keys
  
 Centos: Centos:
   cd /var/named   cd /var/named
- 
   mkdir keys   mkdir keys
   chown named keys   chown named keys
  
-zone-signing key erzeugen: +key-signing key (KSK) erzeugen: ​(grösserer Schlüssel und KSK-Flag) ​((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]] )) 
-((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]])) ​+
  
-  dnssec-keygen -a RSASHA512 ​-b 1536 -n ZONE example.com ​-K keys+  dnssec-keygen -a RSASHA256 ​-b 2560 -n ZONE -K keys/ -f KSK example.com
   ls keys/​Kexample.com.*   ls keys/​Kexample.com.*
-  less keys/​Kexample.com.*.key 
  
-key-signing key erzeugen: +-> Schlüssel ID-Nummer von KSK ZSK notieren (5-stellige Nummer) 
-  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com ​-K keys+ 
 +zone-signing key erzeugen: 
 +  dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K keys/ example.com
   ls keys/​Kexample.com.*   ls keys/​Kexample.com.*
 +  less keys/​Kexample.com.*.key
 +
 +-> Schlüssel ID-Nummer von ZSK notieren (5-stellige Nummer)
 +
 +Rechte auf den Schlüsseldateien anpassen:
 +  chown bind keys/*
  
 Öffentliche Schlüssel zu Zone hinzufügen:​ Öffentliche Schlüssel zu Zone hinzufügen:​
-  cat keys/​Kexample.com.+008+*.key >> example.com+  cat keys/​Kexample.com.+008+*.key >> ​master/example.com
  
 Signierte Zonendatei erzeugen: (30 Tage gültig) Signierte Zonendatei erzeugen: (30 Tage gültig)
-  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+52216.private example.com keys/​Kexample.com.+008+12678.private +  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+${KSK-ID}.private ​master/example.com keys/​Kexample.com.+008+${ZSK-ID}.private 
-  less example.com.signed+  chown bind:bind master/​example.com.signed 
 +  less master/example.com.signed
  
-Todo:+Signierte Zonendatei einbinden: 
 +<file txt /​etc/​bind/​named.conf.local>​ 
 +zone "​example.com"​ { 
 +… 
 +  file "​master/​example.com.signed";​ 
 +… 
 +}; 
 +</​file>​
  
-  * Diesen Server als hidden primary konfigurieren +Konfiguration prüfen und BIND 9 neu laden: 
-  ​* wöchentlichen cron-job zum Signieren anlegen+  ​named-checkconf -z 
 +  rndc reload
  
-===== bind automatisch ZSK signieren lassen ===== +Testen
-Debian+  ​dig @localhost example.com SOA +dnssec +mu 
-  ​cd /​var/​lib/​named+-> muss RRSIG enthalten
  
-Centos(( möglicherweise kann man das  +===== DS-Record hinterlegen ===== 
-  ​setenforce Permissive +DS-Record erstellen
-mit  +  ​dnssec-dsfromkey keys/Kexample.com.+008+${KSK-ID}.key 
-  restorecon ​-rv /var/named  +  ​dnssec-dsfromkey keys/Kexample.com.+008+${KSK-ID}.key > ~/ds-example.com
-vermeidenNoch nicht gestestet )) +
-  ​cd /var/named +
-  setenforce Permissive+
  
-  mkdir keys +Eintrag bei Registry bzw. übergeordneter Domain hinterlegen
-  chown named keys master+
  
-zone-signing key erzeugen((Kann auf einer virtuellen Maschine recht lange dauernStichwort: EntropieTip: [[http://​www.issihosts.com/​haveged/​|haveged]])) ​+Testen: 
 +  dig @1.1.1.1 soa example.com +dnssec +mu 
 +-> ad-Flag muss gesetzt sein
  
-  dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys +===== bind automatisch ZSK signieren lassen ===== 
-  ls keys/​Kexample.com.* +Debian: 
-  ​less keys/Kexample.com.*.key+  ​cd /var/cache/bind
  
-key-signing key erzeugen: +Schritte wie bei [[#von Hand signieren]],​ aber signierte Zonendatei nicht mehr (selbst) ​erzeugen, sondern ab da folgende Schritte:
-  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys +
-  ls keys/​Kexample.com.* +
- +
-Zone signieren:​ +
-  rndc sign +
- +
-  dig dnskey @127.0.0.1 test +short +
-  dig rrsig @127.0.0.1 test +short +
- +
-===== inline-signing =====+
  
 +Zonendatei von bind signieren lassen:
 <file txt /​etc/​bind/​named.conf.local>​ <file txt /​etc/​bind/​named.conf.local>​
-zone "linuxhotel.de" { +zone "example.com" { 
-  type master; + 
-  file "​master/​linuxhotel.de"+  file "​master/​example.com";
-  key-directory "​keys";​ +
-  inline-signing yes;+
   auto-dnssec maintain;   auto-dnssec maintain;
-}+  inline-signing yes; 
 +… 
 +};
 </​file>​ </​file>​
  
 +Konfiguration prüfen und BIND 9 neu laden:
 +  named-checkconf -z
   rndc reconfig   rndc reconfig
-  ​rndc sign linuxhotel.de + 
-  ​ls -Rlrt /​var/​cache/​bind+Zone (erstmalig) signieren:​ 
 +  ​rndc sign example.com 
 + 
 +Testen: 
 +  ​dig @localhost example.com SOA +dnssec +mu 
 +-> muss RRSIG enthalten 
 + 
   rndc sync linuxhotel.de   rndc sync linuxhotel.de
-  named-compilezone -f RAW -o - linuxhotel.de linuxhotel.de.signed | less +  named-compilezone -f RAW -o - example.com master/​example.com.signed | less 
-  + 
 ====== Doku und Links ====== ====== Doku und Links ======
   * http://​dnssectest.sidnlabs.nl/​   * http://​dnssectest.sidnlabs.nl/​
lpi2/bind-dnssec.txt · Zuletzt geändert: 2021/06/05 05:28 von ingo_wichmann

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki