Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
lpi2:bind-dnssec [2016/11/27 22:45] ingo_wichmann [bind automatisch ZSK signieren lassen] |
lpi2:bind-dnssec [2021/06/05 05:28] (aktuell) ingo_wichmann [DS-Record hinterlegen] |
||
---|---|---|---|
Zeile 16: | Zeile 16: | ||
===== von Hand signieren ===== | ===== von Hand signieren ===== | ||
Debian: | Debian: | ||
- | cd /var/lib/named | + | cd /var/cache/bind |
+ | mkdir keys | ||
+ | chown bind keys | ||
- | Centos: | + | key-signing key (KSK) erzeugen: (grösserer Schlüssel und KSK-Flag) ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]] )) |
- | cd /var/named | + | |
- | mkdir keys | + | dnssec-keygen -a RSASHA256 -b 2560 -n ZONE -K keys/ -f KSK example.com |
- | chown named keys | + | ls keys/Kexample.com.* |
- | zone-signing key erzeugen: | + | -> Schlüssel ID-Nummer von KSK ZSK notieren (5-stellige Nummer) |
- | ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]])) | + | |
- | dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys | + | zone-signing key erzeugen: |
+ | dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K keys/ example.com | ||
ls keys/Kexample.com.* | ls keys/Kexample.com.* | ||
less keys/Kexample.com.*.key | less keys/Kexample.com.*.key | ||
- | key-signing key erzeugen: | + | -> Schlüssel ID-Nummer von ZSK notieren (5-stellige Nummer) |
- | dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys | + | |
- | ls keys/Kexample.com.* | + | Rechte auf den Schlüsseldateien anpassen: |
+ | chown bind keys/* | ||
Öffentliche Schlüssel zu Zone hinzufügen: | Öffentliche Schlüssel zu Zone hinzufügen: | ||
- | cat keys/Kexample.com.+008+*.key >> example.com | + | cat keys/Kexample.com.+008+*.key >> master/example.com |
Signierte Zonendatei erzeugen: (30 Tage gültig) | Signierte Zonendatei erzeugen: (30 Tage gültig) | ||
- | dnssec-signzone -o example.com -k keys/Kexample.com.+008+52216.private example.com keys/Kexample.com.+008+12678.private | + | dnssec-signzone -o example.com -k keys/Kexample.com.+008+${KSK-ID}.private master/example.com keys/Kexample.com.+008+${ZSK-ID}.private |
- | less example.com.signed | + | chown bind:bind master/example.com.signed |
+ | less master/example.com.signed | ||
- | Todo: | + | Signierte Zonendatei einbinden: |
+ | <file txt /etc/bind/named.conf.local> | ||
+ | zone "example.com" { | ||
+ | … | ||
+ | file "master/example.com.signed"; | ||
+ | … | ||
+ | }; | ||
+ | </file> | ||
- | * Diesen Server als hidden primary konfigurieren | + | Konfiguration prüfen und BIND 9 neu laden: |
- | * wöchentlichen cron-job zum Signieren anlegen | + | named-checkconf -z |
+ | rndc reload | ||
- | ===== bind automatisch ZSK signieren lassen ===== | + | Testen: |
- | Debian: | + | dig @localhost example.com SOA +dnssec +mu |
- | cd /var/lib/named | + | -> muss RRSIG enthalten |
- | Centos: (( möglicherweise kann man das | + | ===== DS-Record hinterlegen ===== |
- | setenforce Permissive | + | |
- | mit | + | |
- | restorecon -rv /var/named | + | |
- | vermeiden. Noch nicht gestestet )) | + | |
- | cd /var/named | + | |
- | setenforce Permissive | + | |
- | mkdir keys | + | {{:lpi2:ds-dnskey.png?400|}} |
- | chown named keys master | + | |
- | zone-signing key erzeugen: ((Kann auf einer virtuellen Maschine recht lange dauern. Stichwort: Entropie. Tip: [[http://www.issihosts.com/haveged/|haveged]])) | ||
- | dnssec-keygen -a RSASHA512 -b 1536 -n ZONE example.com -K keys | + | DS-Record erstellen: |
- | ls keys/Kexample.com.* | + | dnssec-dsfromkey keys/Kexample.com.+008+${KSK-ID}.key |
- | less keys/Kexample.com.*.key | + | dnssec-dsfromkey keys/Kexample.com.+008+${KSK-ID}.key > ~/ds-example.com |
- | key-signing key erzeugen: | + | Eintrag bei Registry bzw. übergeordneter Domain hinterlegen |
- | dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com -K keys | + | |
- | ls keys/Kexample.com.* | + | |
- | Zone signieren: | + | Testen: |
- | rndc sign | + | dig @1.1.1.1 soa example.com +dnssec +mu |
+ | -> ad-Flag muss gesetzt sein | ||
- | dig dnskey @127.0.0.1 test +short | + | ===== bind automatisch ZSK signieren lassen ===== |
- | dig rrsig @127.0.0.1 test +short | + | Debian: |
+ | cd /var/cache/bind | ||
- | inline: | + | Schritte wie bei [[#von Hand signieren]], aber signierte Zonendatei nicht mehr (selbst) erzeugen, sondern ab da folgende Schritte: |
+ | Zonendatei von bind signieren lassen: | ||
<file txt /etc/bind/named.conf.local> | <file txt /etc/bind/named.conf.local> | ||
- | zone "linuxhotel.de" { | + | zone "example.com" { |
- | type master; | + | … |
- | file "master/linuxhotel.de"; | + | file "master/example.com"; |
- | key-directory "keys"; | + | |
- | inline-signing yes; | + | |
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | } | + | inline-signing yes; |
+ | … | ||
+ | }; | ||
</file> | </file> | ||
+ | |||
+ | Konfiguration prüfen und BIND 9 neu laden: | ||
+ | named-checkconf -z | ||
+ | rndc reconfig | ||
+ | |||
+ | Zone (erstmalig) signieren: | ||
+ | rndc sign example.com | ||
+ | |||
+ | Testen: | ||
+ | dig @localhost example.com SOA +dnssec +mu | ||
+ | -> muss RRSIG enthalten | ||
+ | |||
+ | |||
+ | rndc sync linuxhotel.de | ||
+ | named-compilezone -f RAW -o - example.com master/example.com.signed | less | ||
+ | |||
====== Doku und Links ====== | ====== Doku und Links ====== |