Dnssec bind9: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 34: | Zeile 34: | ||
|speziell für KSK muss diese Flag gesetzt werden | |speziell für KSK muss diese Flag gesetzt werden | ||
|} | |} | ||
| + | =Zone Signing Key (ZSK) generieren= | ||
| + | Den Zone Signing Key erzeugt man im Anschluß daran wie folgt, gefolgt von einer Neuzuordnung der Dateiattribute. | ||
| + | *'''dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE -kit.lab''' | ||
| + | *'''chown -R bind:bind /etc/bind/keys/''' | ||
| + | |||
=Quellen= | =Quellen= | ||
*https://www.linuxmaker.com/linux/bind9-mit-dnssec-absichern/konfiguration-von-dnssec.html | *https://www.linuxmaker.com/linux/bind9-mit-dnssec-absichern/konfiguration-von-dnssec.html | ||
Version vom 14. Februar 2023, 15:36 Uhr
Grundkonfiguration
- cat /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
key-directory "/var/bind/keys";
dnssec-validation auto;
};
Verzeichnis erstellen
- mkdir -p /etc/bind/keys/
- chown -R bind:bind /etc/bind/keys/
Key Signing Key (KSK) generieren
- cd /etc/bind/keys/
- dnssec-keygen -3 -a RSASHA512 -b 4096 -n ZONE -f KSK kit.lab
| Option | Wirkung |
|---|---|
| -3 | aktiviert das gewünschte NSEC3 |
| -a | bestimmt den Typ der Signatur |
| -b | gibt die gewünschte Blockgröße an |
| -n | spezifiziert den Nametyp wie ZONE, HOST, USER |
| -f | speziell für KSK muss diese Flag gesetzt werden |
Zone Signing Key (ZSK) generieren
Den Zone Signing Key erzeugt man im Anschluß daran wie folgt, gefolgt von einer Neuzuordnung der Dateiattribute.
- dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE -kit.lab
- chown -R bind:bind /etc/bind/keys/