Benutzer-Werkzeuge
lpi2:bind-dnssec
Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
dig
Aktuelle root-keys herunterladen:
dig . DNSKEY | grep -Ev '^($|;)' > root.keys
Nameserver abfragen:
dig +sigchase +trusted-key=./root.keys www.isc.org A @127.0.0.1
Eigenen Resolver testen
dig org. SOA +dnssec
→ flags: ad
dig test.dnssec-or-not.net TXT @localhost
→ „Yes, you are using DNSSEC“
Eigene Zone signieren
Eigenen Schlüssel erzeugen: 1)
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE example.com
unsortiert
505 dnssec-keygen -a RSASHA256 -b 1024 -n ZONE linuxhotel.de 506 dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE linuxhotel.de 507 more Klinuxhotel.de.+008+27427.key 508 more Klinuxhotel.de.+008+16233.key 509 nano linuxhotel.de 510 named-checkzone linuxhotel.de linuxhotel.de 512 cat Klinuxhotel.de.+008+*.key >> linuxhotel.de 513 more linuxhotel.de 514 dnssec-signzone -o linuxhotel.de -k
Klinuxhotel.de.+008+27427.private linuxhotel.de Klinuxhotel.de.+008+16233.private
515 more linuxhotel.de.signed
Bind 9.9 kann seine Zonen selbst signieren.
Doku und Links
- file:usr/share/doc/bind9-doc/arm/Bv9ARM.ch04.html#DNSSEC
1)
Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: haveged
lpi2/bind-dnssec.1392757484.txt.gz · Zuletzt geändert: 2014/02/18 21:04 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
