Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


lpi2:bind-dnssec

Dies ist eine alte Version des Dokuments!


dig

Aktuelle root-keys herunterladen:

dig . DNSKEY | egrep -v '^($|;)' > root.keys

Nameserver abfragen:

dig +sigchase +trusted-key=./root.keys www.isc.org A @127.0.0.1

Eigenen Resolver testen

dig org. SOA +dnssec

→ flags: ad

dig test.dnssec-or-not.net TXT @localhost

→ „Yes, you are using DNSSEC“

Eigene Zone signieren

cd /var/lib/named

zone-signing key erzeugen: 1)

dnssec-keygen -a RSASHA256 -b 1024 -n ZONE example.com
ls Kexample.com.*
less Kexample.com.*.key

key-signing key erzeugen:

dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com
ls Kexample.com.*

Öffentliche Schlüssen zu Zone hinzufügen:

cat Kexample.com.+008+*.key >> example.com

Signierte Zonendatei erzeugen: (30 Tage gültig)

dnssec-signzone -o example.com -k Kexample.com.+008+52216.private example.com Kexample.com.+008+12678.private
less example.com.signed

Todo:

  • Diesen Server als hidden primary konfigurieren
  • wöchentlichen cron-job zum Signieren anlegen
  • Bind 9.9 kann seine Zonen selbst signieren.

Doku und Links

1)
Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: haveged
lpi2/bind-dnssec.1401821752.txt.gz · Zuletzt geändert: 2014/06/03 18:55 von ingo_wichmann