Pseudo top level domain DNSSEC: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „==== DNSSEC-Umstellung für eine Pseudo-Top-Level-Domain ==== === Einleitung === Dieser Artikel beschreibt die Aktivierung von **DNSSEC** für eine Pseudo-Top…“) |
|||
| Zeile 2: | Zeile 2: | ||
=== Einleitung === | === Einleitung === | ||
| − | Dieser Artikel beschreibt die Aktivierung von | + | Dieser Artikel beschreibt die Aktivierung von DNSSEC für eine Pseudo-Top-Level-Domain (TLD), die mit BIND9 verwaltet wird. DNSSEC stellt sicher, dass die Antworten des DNS-Servers authentifiziert und vor Manipulation geschützt sind. |
=== Voraussetzungen === | === Voraussetzungen === | ||
| − | * Ein laufender | + | * Ein laufender BIND9-Nameserver, der als autoritativer DNS-Server für die Pseudo-TLD dient. |
* Installation der notwendigen Werkzeuge: `dnssec-tools` oder `bind9-utils`. | * Installation der notwendigen Werkzeuge: `dnssec-tools` oder `bind9-utils`. | ||
* Zugriff auf das Verzeichnis `/var/cache/bind/` zur Speicherung der signierten Zonen. | * Zugriff auf das Verzeichnis `/var/cache/bind/` zur Speicherung der signierten Zonen. | ||
| Zeile 11: | Zeile 11: | ||
=== 1. Generierung der DNSSEC-Schlüssel === | === 1. Generierung der DNSSEC-Schlüssel === | ||
DNSSEC benötigt zwei Arten von Schlüsseln: | DNSSEC benötigt zwei Arten von Schlüsseln: | ||
| − | + | * Zone Signing Key (ZSK): Signiert die Zone und wird häufiger gewechselt. | |
| − | + | * Key Signing Key (KSK): Signiert den ZSK und wird seltener gewechselt. | |
'''ZSK erzeugen''' | '''ZSK erzeugen''' | ||
| Zeile 25: | Zeile 25: | ||
Die generierten Dateien sehen ungefähr so aus: | Die generierten Dateien sehen ungefähr so aus: | ||
| − | * | + | * Kint.+008+12315.key |
| − | * | + | * Kint.+008+12315.private |
| − | * | + | * Kint.+008+43144.key |
| − | * | + | * Kint.+008+43144.private |
=== 2. Integration der DNSSEC-Schlüssel in die Zone === | === 2. Integration der DNSSEC-Schlüssel in die Zone === | ||
| − | Die | + | Die .key-Dateien müssen in die Zonendatei `/var/cache/bind/int` eingebunden werden: |
<pre> | <pre> | ||
| Zeile 80: | Zeile 80: | ||
</pre> | </pre> | ||
| − | Falls die Konfiguration korrekt ist, sollten | + | Falls die Konfiguration korrekt ist, sollten RRSIG-Einträge sichtbar sein. |
=== Fazit === | === Fazit === | ||
| − | Mit diesen Schritten ist die | + | Mit diesen Schritten ist die Pseudo-Top-Level-Domain mit DNSSEC abgesichert. Falls ein Slave-Server existiert, muss auch dort DNSSEC aktiviert und die signierte Zone übernommen werden. |
Version vom 10. März 2025, 18:44 Uhr
DNSSEC-Umstellung für eine Pseudo-Top-Level-Domain
Einleitung
Dieser Artikel beschreibt die Aktivierung von DNSSEC für eine Pseudo-Top-Level-Domain (TLD), die mit BIND9 verwaltet wird. DNSSEC stellt sicher, dass die Antworten des DNS-Servers authentifiziert und vor Manipulation geschützt sind.
Voraussetzungen
- Ein laufender BIND9-Nameserver, der als autoritativer DNS-Server für die Pseudo-TLD dient.
- Installation der notwendigen Werkzeuge: `dnssec-tools` oder `bind9-utils`.
- Zugriff auf das Verzeichnis `/var/cache/bind/` zur Speicherung der signierten Zonen.
1. Generierung der DNSSEC-Schlüssel
DNSSEC benötigt zwei Arten von Schlüsseln:
- Zone Signing Key (ZSK): Signiert die Zone und wird häufiger gewechselt.
- Key Signing Key (KSK): Signiert den ZSK und wird seltener gewechselt.
ZSK erzeugen
dnssec-keygen -a RSASHA256 -b 2048 -n ZONE int
KSK erzeugen
dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE int
Die generierten Dateien sehen ungefähr so aus:
- Kint.+008+12315.key
- Kint.+008+12315.private
- Kint.+008+43144.key
- Kint.+008+43144.private
2. Integration der DNSSEC-Schlüssel in die Zone
Die .key-Dateien müssen in die Zonendatei `/var/cache/bind/int` eingebunden werden:
$INCLUDE /var/cache/bind/Kint.+008+12315.key $INCLUDE /var/cache/bind/Kint.+008+43144.key
3. Zonensignierung mit DNSSEC
Sobald die Schlüssel eingebunden sind, wird die Zone signiert:
dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int
Dies erzeugt eine signierte Datei `int.signed`.
4. BIND9-Konfiguration anpassen
Die Datei `/etc/bind/named.conf.local` muss angepasst werden, damit die signierte Zone verwendet wird:
zone "int" {
type master;
file "/var/cache/bind/int.signed";
allow-query { any; };
dnssec-policy default;
};
5. DNSSEC in BIND9 aktivieren
In der Datei `/etc/bind/named.conf.options` folgende Einstellungen setzen:
options {
dnssec-validation auto;
dnssec-enable yes;
dnssec-lookaside auto;
};
6. Neustart von BIND9
Nach den Änderungen muss der DNS-Server neu gestartet werden:
systemctl restart bind9
7. Überprüfung von DNSSEC
Zur Kontrolle, ob DNSSEC korrekt funktioniert:
dig DNSKEY int @localhost +dnssec dig A www.it100.int @localhost +dnssec
Falls die Konfiguration korrekt ist, sollten RRSIG-Einträge sichtbar sein.
Fazit
Mit diesen Schritten ist die Pseudo-Top-Level-Domain mit DNSSEC abgesichert. Falls ein Slave-Server existiert, muss auch dort DNSSEC aktiviert und die signierte Zone übernommen werden.