Pseudo second level domain DNSSEC: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 55: | Zeile 55: | ||
22 IN PTR www.it113.int. | 22 IN PTR www.it113.int. | ||
</pre> | </pre> | ||
| + | |||
| + | = DNSSEC für die Second-Level-Domain it113.int = | ||
| + | |||
| + | == Übersicht == | ||
| + | * Die Toplevel-Domain '''int.''' ist bereits mit '''DNSSEC signiert''' und läuft auf '''dnsgw.gw'''. | ||
| + | * Die Second-Level-Domain '''it113.int''' wird auf '''ns.it113.int''' gehostet. | ||
| + | * '''Ziel:''' DNSSEC-Signierung von '''it113.int''' und Veröffentlichung des DS-Records in der Parent-Zone ''int.''. | ||
| + | |||
| + | == 1. Schlüssel für it113.int generieren (auf ns.it113.int) == | ||
| + | * '''dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE it113.int''' | ||
| + | * '''dnssec-keygen -a RSASHA256 -b 1024 -n ZONE it113.int''' | ||
| + | |||
| + | == 2. Schlüssel in die Zonendatei eintragen (auf ns.it113.int) == | ||
| + | * '''cat K*.key >> /etc/bind/zones/it113.int.zone''' | ||
| + | |||
| + | == 3. Zone signieren (auf ns.it113.int) == | ||
| + | * '''dnssec-signzone -A -N INCREMENT -o it113.int -t /etc/bind/zones/it113.int.zone''' | ||
| + | |||
| + | Ergebnis: Die signierte Datei '''it113.int.zone.signed'''. | ||
| + | |||
| + | == 4. Bind konfigurieren, um die signierte Zone zu verwenden (auf ns.it113.int) == | ||
| + | Zonendatei in ''/etc/bind/named.conf.local'' anpassen: | ||
| + | <pre> | ||
| + | zone "it113.int" { | ||
| + | type master; | ||
| + | file "/etc/bind/zones/it113.int.zone.signed"; | ||
| + | allow-transfer { any; }; | ||
| + | allow-query { any; }; | ||
| + | }; | ||
| + | </pre> | ||
| + | |||
| + | Neustart von BIND: | ||
| + | * '''systemctl restart bind9''' | ||
| + | |||
| + | == 5. DS-Records an die Toplevel-Domain übergeben (auf ns.it113.int) == | ||
| + | * '''dig +short DS it113.int''' | ||
| + | |||
| + | Den ausgegebenen DS-Record in die Zonendatei von ''int.'' auf ''dnsgw.gw'' eintragen. | ||
| + | |||
| + | == 6. DS-Record in der Toplevel-Domain veröffentlichen (auf dnsgw.gw) == | ||
| + | In der Datei '''/etc/bind/zones/int.zone''': | ||
| + | <pre> | ||
| + | it113.int. IN DS 12345 8 2 49FD74D5C4A7AE7D15A57A15B22D... | ||
| + | </pre> | ||
| + | |||
| + | == 7. Toplevel-Zone neu signieren (auf dnsgw.gw) == | ||
| + | * '''dnssec-signzone -A -N INCREMENT -o int -t /etc/bind/zones/int.zone''' | ||
| + | |||
| + | Neustart von BIND: | ||
| + | * '''systemctl restart bind9''' | ||
| + | |||
| + | == 8. Überprüfung (auf beliebigem Client) == | ||
| + | * '''dig +dnssec it113.int''' | ||
| + | * '''dig +dnssec www.it113.int''' | ||
| + | |||
| + | Falls alles korrekt ist, sollte das '''AD-Bit''' (Authentic Data) gesetzt sein. | ||
| + | }} | ||
Version vom 12. März 2025, 20:48 Uhr
- cat /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
forwarders {
192.168.178.88;
};
empty-zones-enable no;
dnssec-validation auto;
listen-on-v6 { none; };
};
*cat /etc/bind/named.conf.local
zone it113.int IN {
type master;
file "it113.int";
};
zone 113.88.10.in-addr.arpa IN {
type master;
file "113.88.10.in-addr.arpa";
};
- cat it113.int
$TTL 300
@ IN SOA ns technik.xinux.de. (
2011090204 ;
14400 ;
3600 ;
3600000 ;
86400 ;
)
IN NS ns
ns IN A 10.88.113.2
www IN A 10.88.113.22
- cat 113.88.10.in-addr.arpa
$TTL 300
@ IN SOA ns.it113.int. technik.xinux.de. (
2011090204 ;
14400 ;
3600 ;
3600000 ;
86400 ;
)
IN NS ns.it113.int.
2 IN PTR ns.it113.int.
22 IN PTR www.it113.int.
DNSSEC für die Second-Level-Domain it113.int
Übersicht
- Die Toplevel-Domain int. ist bereits mit DNSSEC signiert und läuft auf dnsgw.gw.
- Die Second-Level-Domain it113.int wird auf ns.it113.int gehostet.
- Ziel: DNSSEC-Signierung von it113.int und Veröffentlichung des DS-Records in der Parent-Zone int..
1. Schlüssel für it113.int generieren (auf ns.it113.int)
- dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE it113.int
- dnssec-keygen -a RSASHA256 -b 1024 -n ZONE it113.int
2. Schlüssel in die Zonendatei eintragen (auf ns.it113.int)
- cat K*.key >> /etc/bind/zones/it113.int.zone
3. Zone signieren (auf ns.it113.int)
- dnssec-signzone -A -N INCREMENT -o it113.int -t /etc/bind/zones/it113.int.zone
Ergebnis: Die signierte Datei it113.int.zone.signed.
4. Bind konfigurieren, um die signierte Zone zu verwenden (auf ns.it113.int)
Zonendatei in /etc/bind/named.conf.local anpassen:
zone "it113.int" {
type master;
file "/etc/bind/zones/it113.int.zone.signed";
allow-transfer { any; };
allow-query { any; };
};
Neustart von BIND:
- systemctl restart bind9
5. DS-Records an die Toplevel-Domain übergeben (auf ns.it113.int)
- dig +short DS it113.int
Den ausgegebenen DS-Record in die Zonendatei von int. auf dnsgw.gw eintragen.
6. DS-Record in der Toplevel-Domain veröffentlichen (auf dnsgw.gw)
In der Datei /etc/bind/zones/int.zone:
it113.int. IN DS 12345 8 2 49FD74D5C4A7AE7D15A57A15B22D...
7. Toplevel-Zone neu signieren (auf dnsgw.gw)
- dnssec-signzone -A -N INCREMENT -o int -t /etc/bind/zones/int.zone
Neustart von BIND:
- systemctl restart bind9
8. Überprüfung (auf beliebigem Client)
- dig +dnssec it113.int
- dig +dnssec www.it113.int
Falls alles korrekt ist, sollte das AD-Bit (Authentic Data) gesetzt sein. }}