Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
lpi2:bind-dnssec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung 		Vorherige Überarbeitung
Letzte Überarbeitung Beide Seiten, nächste Überarbeitung
lpi2:bind-dnssec [2016/11/27 22:48]
ingo_wichmann [bind automatisch ZSK signieren lassen] 		lpi2:bind-dnssec [2019/12/18 00:31]
ingo_wichmann [von Hand signieren]
Zeile 16: Zeile 16:
 ===== von Hand signieren ===== ===== von Hand signieren =====
 Debian: Debian:
-  cd /var/lib/named+  cd /var/cache/bind 
 +  mkdir keys 
 +  chown bind keys
  
-Centos: +key-signing key (KSK) erzeugen(grösserer Schlüssel und KSK-Flag) ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/haveged/|haveged]] )) 
-  cd /var/named+
  
-  ​mkdir keys +  ​dnssec-keygen -a RSASHA256 -b 2560 -n ZONE -K keys/ -f KSK example.com 
-  ​chown named keys+  ​ls keys/​Kexample.com.*
  
-zone-signing key erzeugen: +-> Schlüssel ID-Nummer von KSK ZSK notieren ​(5-stellige Nummer)
-((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]])+
  
-  ​dnssec-keygen -a RSASHA512 ​-b 1536 -n ZONE example.com ​-K keys+zone-signing key erzeugen: 
 +  ​dnssec-keygen -a RSASHA256 ​-b 2048 -n ZONE -K keys/ example.com
   ls keys/​Kexample.com.*   ls keys/​Kexample.com.*
   less keys/​Kexample.com.*.key   less keys/​Kexample.com.*.key
  
-key-signing key erzeugen: +-> Schlüssel ID-Nummer von ZSK notieren (5-stellige Nummer) 
-  dnssec-keygen ​-a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys + 
-  ​ls keys/Kexample.com.*+Rechte auf den Schlüsseldateien anpassen: 
 +  ​chown bind keys/*
  
 Öffentliche Schlüssel zu Zone hinzufügen:​ Öffentliche Schlüssel zu Zone hinzufügen:​
-  cat keys/​Kexample.com.+008+*.key >> example.com+  cat keys/​Kexample.com.+008+*.key >> ​master/example.com
  
 Signierte Zonendatei erzeugen: (30 Tage gültig) Signierte Zonendatei erzeugen: (30 Tage gültig)
-  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+52216.private example.com keys/​Kexample.com.+008+12678.private +  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+${KSK-ID}.private ​master/example.com keys/​Kexample.com.+008+${ZSK-ID}.private 
-  less example.com.signed+  chown bind:bind master/​example.com.signed 
 +  less master/example.com.signed
  
-Todo:+Signierte Zonendatei einbinden: 
 +<file txt /​etc/​bind/​named.conf.local>​ 
 +zone "​example.com"​ { 
 +… 
 +  file "​master/​example.com.signed";​ 
 +… 
 +}; 
 +</​file>​
  
-  * Diesen Server als hidden primary konfigurieren +Konfiguration prüfen und BIND 9 neu laden: 
-  ​* wöchentlichen cron-job zum Signieren anlegen+  ​named-checkconf -z 
 +  rndc reload
  
-===== bind automatisch ZSK signieren lassen ===== +Testen
-Debian+  ​dig @localhost example.com SOA +dnssec +mu 
-  ​cd /​var/​lib/​named+-> muss RRSIG enthalten
  
-Centos(( möglicherweise kann man das  +===== DS-Record hinterlegen ===== 
-  ​setenforce Permissive +DS-Record erstellen
-mit  +  ​dnssec-dsfromkey keys/Kexample.com.+008+${KSK-ID}.key 
-  restorecon ​-rv /var/named  +  ​dnssec-dsfromkey keys/Kexample.com.+008+${KSK-ID}.key > ~/ds-example.com
-vermeidenNoch nicht gestestet )) +
-  ​cd /var/named +
-  setenforce Permissive+
  
-  mkdir keys +Eintrag bei Registry bzw. übergeordneter Domain hinterlegen
-  chown named keys master+
  
-zone-signing key erzeugen((Kann auf einer virtuellen Maschine recht lange dauernStichwort: EntropieTip: [[http://​www.issihosts.com/​haveged/​|haveged]])) ​+Testen: 
 +  dig @1.1.1.1 soa example.com +dnssec +mu 
 +-> ad-Flag muss gesetzt sein
  
-  dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys +===== bind automatisch ZSK signieren lassen ===== 
-  ls keys/​Kexample.com.* +Debian: 
-  ​less keys/Kexample.com.*.key +  ​cd /var/cache/bind
- +
-key-signing key erzeugen: +
-  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys +
-  ls keys/Kexample.com.*+
  
-Zone signieren: +Schritte wie bei [[#von Hand signieren]], aber signierte Zonendatei nicht mehr (selbst) erzeugen, sondern ab da folgende Schritte:
-  rndc sign +
- +
-  dig dnskey @127.0.0.1 test +short +
-  dig rrsig @127.0.0.1 test +short +
- +
-===== inline-signing =====+
  
 +Zonendatei von bind signieren lassen:
 <file txt /​etc/​bind/​named.conf.local>​ <file txt /​etc/​bind/​named.conf.local>​
-zone "linuxhotel.de" { +zone "example.com" { 
-  type master; + 
-  file "​master/​linuxhotel.de"+  file "​master/​example.com";
-  key-directory "​keys";​ +
-  inline-signing yes;+
   auto-dnssec maintain;   auto-dnssec maintain;
-}+  inline-signing yes; 
 +… 
 +};
 </​file>​ </​file>​
  
 +Konfiguration prüfen und BIND 9 neu laden:
 +  named-checkconf -z
   rndc reconfig   rndc reconfig
-  ​rndc sign linuxhotel.de + 
-  ​ls -Rlrt /​var/​cache/​bind+Zone (erstmalig) signieren:​ 
 +  ​rndc sign example.com 
 + 
 +Testen: 
 +  ​dig @localhost example.com SOA +dnssec +mu 
 +-> muss RRSIG enthalten 
 + 
   rndc sync linuxhotel.de   rndc sync linuxhotel.de
-  named-compilezone -f RAW -o - linuxhotel.de linuxhotel.de.signed | less +  named-compilezone -f RAW -o - example.com master/​example.com.signed | less 
-  + 
 ====== Doku und Links ====== ====== Doku und Links ======
   * http://​dnssectest.sidnlabs.nl/​   * http://​dnssectest.sidnlabs.nl/​
lpi2/bind-dnssec.txt · Zuletzt geändert: 2021/06/05 05:28 von ingo_wichmann

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki