Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
lpi2:bind-dnssec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung 		Vorherige Überarbeitung
lpi2:bind-dnssec [2016/11/27 22:48]
ingo_wichmann [bind automatisch ZSK signieren lassen] 		lpi2:bind-dnssec [2021/06/05 05:28] (aktuell)
ingo_wichmann [DS-Record hinterlegen]
Zeile 16: Zeile 16:
 ===== von Hand signieren ===== ===== von Hand signieren =====
 Debian: Debian:
-  cd /var/lib/named+  cd /var/cache/bind 
 +  mkdir keys 
 +  chown bind keys
  
-Centos: +key-signing key (KSK) erzeugen(grösserer Schlüssel und KSK-Flag) ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/haveged/|haveged]] )) 
-  cd /var/named+
  
-  ​mkdir keys +  ​dnssec-keygen -a RSASHA256 -b 2560 -n ZONE -K keys/ -f KSK example.com 
-  ​chown named keys+  ​ls keys/​Kexample.com.*
  
-zone-signing key erzeugen: +-> Schlüssel ID-Nummer von KSK ZSK notieren ​(5-stellige Nummer)
-((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]])+
  
-  ​dnssec-keygen -a RSASHA512 ​-b 1536 -n ZONE example.com ​-K keys+zone-signing key erzeugen: 
 +  ​dnssec-keygen -a RSASHA256 ​-b 2048 -n ZONE -K keys/ example.com
   ls keys/​Kexample.com.*   ls keys/​Kexample.com.*
   less keys/​Kexample.com.*.key   less keys/​Kexample.com.*.key
  
-key-signing key erzeugen: +-> Schlüssel ID-Nummer von ZSK notieren (5-stellige Nummer) 
-  dnssec-keygen ​-a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys + 
-  ​ls keys/Kexample.com.*+Rechte auf den Schlüsseldateien anpassen: 
 +  ​chown bind keys/*
  
 Öffentliche Schlüssel zu Zone hinzufügen:​ Öffentliche Schlüssel zu Zone hinzufügen:​
-  cat keys/​Kexample.com.+008+*.key >> example.com+  cat keys/​Kexample.com.+008+*.key >> ​master/example.com
  
 Signierte Zonendatei erzeugen: (30 Tage gültig) Signierte Zonendatei erzeugen: (30 Tage gültig)
-  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+52216.private example.com keys/​Kexample.com.+008+12678.private +  dnssec-signzone -o example.com -k keys/​Kexample.com.+008+${KSK-ID}.private ​master/example.com keys/​Kexample.com.+008+${ZSK-ID}.private 
-  less example.com.signed+  chown bind:bind master/​example.com.signed 
 +  less master/example.com.signed
  
-Todo:+Signierte Zonendatei einbinden: 
 +<file txt /​etc/​bind/​named.conf.local>​ 
 +zone "​example.com"​ { 
 +… 
 +  file "​master/​example.com.signed";​ 
 +… 
 +}; 
 +</​file>​
  
-  * Diesen Server als hidden primary konfigurieren +Konfiguration prüfen und BIND 9 neu laden: 
-  ​* wöchentlichen cron-job zum Signieren anlegen+  ​named-checkconf -z 
 +  rndc reload
  
-===== bind automatisch ZSK signieren lassen ===== +Testen
-Debian+  ​dig @localhost example.com SOA +dnssec +mu 
-  ​cd /​var/​lib/​named+-> muss RRSIG enthalten
  
-Centos: (( möglicherweise kann man das  +===== DS-Record hinterlegen =====
-  setenforce Permissive +
-mit  +
-  restorecon ​-rv /var/named  +
-vermeiden. Noch nicht gestestet )) +
-  cd /​var/​named +
-  setenforce Permissive+
  
-  mkdir keys +{{:​lpi2:​ds-dnskey.png?​400|}}
-  chown named keys master+
  
-zone-signing key erzeugen: ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://​www.issihosts.com/​haveged/​|haveged]])) ​ 
  
-  dnssec-keygen -a RSASHA512 ​-b 1536 -n ZONE example.com -K keys +DS-Record erstellen: 
-  ​ls keys/​Kexample.com.* +  ​dnssec-dsfromkey ​keys/​Kexample.com.+008+${KSK-ID}.key 
-  ​less keys/​Kexample.com.*.key+  ​dnssec-dsfromkey ​keys/​Kexample.com.+008+${KSK-ID}.key > ~/​ds-example.com
  
-key-signing key erzeugen: +Eintrag bei Registry bzwübergeordneter Domain hinterlegen
-  dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys +
-  ls keys/​Kexample.com.*+
  
-Zone signieren+Testen
-  ​rndc sign+  ​dig @1.1.1.1 soa example.com +dnssec +mu 
 +-> ad-Flag muss gesetzt sein
  
-  dig dnskey @127.0.0.1 test +short +===== bind automatisch ZSK signieren lassen ===== 
-  ​dig rrsig @127.0.0.1 test +short+Debian: 
 +  ​cd /​var/​cache/​bind
  
-===== inline-signing =====+Schritte wie bei [[#von Hand signieren]],​ aber signierte Zonendatei nicht mehr (selbst) erzeugen, sondern ab da folgende Schritte:
  
 +Zonendatei von bind signieren lassen:
 <file txt /​etc/​bind/​named.conf.local>​ <file txt /​etc/​bind/​named.conf.local>​
-zone "linuxhotel.de" { +zone "example.com" { 
-  type master; + 
-  file "​master/​linuxhotel.de"+  file "​master/​example.com";
-  key-directory "​keys";​ +
-  inline-signing yes;+
   auto-dnssec maintain;   auto-dnssec maintain;
-}+  inline-signing yes; 
 +… 
 +};
 </​file>​ </​file>​
  
 +Konfiguration prüfen und BIND 9 neu laden:
 +  named-checkconf -z
   rndc reconfig   rndc reconfig
-  ​rndc sign linuxhotel.de + 
-  ​ls -Rlrt /​var/​cache/​bind+Zone (erstmalig) signieren:​ 
 +  ​rndc sign example.com 
 + 
 +Testen: 
 +  ​dig @localhost example.com SOA +dnssec +mu 
 +-> muss RRSIG enthalten 
 + 
   rndc sync linuxhotel.de   rndc sync linuxhotel.de
-  named-compilezone -f RAW -o - linuxhotel.de linuxhotel.de.signed | less +  named-compilezone -f RAW -o - example.com master/​example.com.signed | less 
-  + 
 ====== Doku und Links ====== ====== Doku und Links ======
   * http://​dnssectest.sidnlabs.nl/​   * http://​dnssectest.sidnlabs.nl/​
lpi2/bind-dnssec.1480286894.txt.gz · Zuletzt geändert: 2016/11/27 22:48 von ingo_wichmann

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki