Pseudo second level domain DNSSEC: Unterschied zwischen den Versionen
| Zeile 68: | Zeile 68: | ||
Den ausgegebenen DS-Record in die übergeordnete Zone '''88.10.in-addr.arpa''' auf '''dnsgw.gw''' eintragen. | Den ausgegebenen DS-Record in die übergeordnete Zone '''88.10.in-addr.arpa''' auf '''dnsgw.gw''' eintragen. | ||
| − | == Toplevel-Zone neu signieren (auf dnsgw | + | == Toplevel-Zone neu signieren (auf dnsgw) == |
| − | *dnssec-signzone -A -N INCREMENT -o int -t / | + | *dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int |
| − | *dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t / | + | *dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t /var/cache/bind/88.10.in-addr.arpa |
Neustart von BIND: | Neustart von BIND: | ||
Version vom 13. März 2025, 19:18 Uhr
DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa
Übersicht
- Die Toplevel-Domain int. ist bereits mit DNSSEC signiert und läuft auf dnsgw.gw. - Die Second-Level-Zone it113.int wird auf ns.it113.int gehostet. - Die Reverse-Zone 113.88.10.in-addr.arpa wird ebenfalls auf ns.it113.int verwaltet. - Ziel: DNSSEC-Signierung beider Zonen und Veröffentlichung der DS-Records in der Parent-Zone.
Schlüssel für it113.int generieren (auf ns.it113.int)
ZSK erzeugen
- KSK_IT=$(dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE -K /var/cache/bind it113.int)
- ZSK_IT=$(dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K /var/cache/bind it113.int)
Schlüssel für 113.88.10.in-addr.arpa generieren (auf ns.it113.int)
ZSK erzeugen
- KSK_REV=$(dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE -K /var/cache/bind 113.88.10.in-addr.arpa)
- ZSK_REV=$(dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K /var/cache/bind 113.88.10.in-addr.arpa)
Schlüssel in die Zonendateien eintragen (auf ns.it113.int)
it113.int
- echo "\$INCLUDE /var/cache/bind/$KSK_IT.key" >> /var/cache/bind/it113.int
- echo "\$INCLUDE /var/cache/bind/$ZSK_IT.key" >> /var/cache/bind/it113.int
113.88.10.in-addr.arpa
- echo "\$INCLUDE /var/cache/bind/$KSK_REV.key" >> /var/cache/bind/113.88.10.in-addr.arpa
- echo "\$INCLUDE /var/cache/bind/$ZSK_REV.key" >> /var/cache/bind/113.88.10.in-addr.arpa
Zonen signieren (auf ns.it113.int)
it113.int
- dnssec-signzone -A -N INCREMENT -o it113.int -t /var/cache/bind/it113.int
113.88.10.in-addr.arpa
- dnssec-signzone -A -N INCREMENT -o 113.88.10.in-addr.arpa -t /var/cache/bind/113.88.10.in-addr.arpa
Bind konfigurieren, um die signierten Zonen zu verwenden (auf ns.it113.int)
In der Datei /etc/bind/named.conf.local:
zone "it113.int" {
type master;
file "/var/cache/bind/it113.int.signed";
allow-transfer { any; };
allow-query { any; };
};
zone "113.88.10.in-addr.arpa" {
type master;
file "/var/cache/bind/113.88.10.in-addr.arpa.signed";
allow-transfer { any; };
allow-query { any; };
};
Konfiguration übernehmen und testen
Bind9 neustarten und Zonenstatus prüfen
- systemctl restart bind9
- rndc reload
- rndc zonestatus it113.int
- rndc zonestatus 113.88.10.in-addr.arpa
DS-Records an die Parent-Zonen übergeben
it113.int
- dnssec-dsfromkey -2 /var/cache/bind/$KSK_IT.key
Den ausgegebenen DS-Record in die Parent-Zone int. auf dnsgw.gw eintragen.
113.88.10.in-addr.arpa
- dnssec-dsfromkey -2 /var/cache/bind/$KSK_REV.key
Den ausgegebenen DS-Record in die übergeordnete Zone 88.10.in-addr.arpa auf dnsgw.gw eintragen.
Toplevel-Zone neu signieren (auf dnsgw)
- dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int
- dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t /var/cache/bind/88.10.in-addr.arpa
Neustart von BIND:
- systemctl restart bind9
Überprüfung (auf beliebigem Client)
it113.int
- dig +dnssec it113.int
- dig +dnssec www.it113.int
113.88.10.in-addr.arpa
- dig +dnssec 113.88.10.in-addr.arpa
Falls alles korrekt ist, sollte das AD-Bit (Authentic Data) gesetzt sein.