Pseudo second level domain DNSSEC: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „*cat /etc/bind/named.conf.options <pre> options { directory "/var/cache/bind"; forwarders { 192.168.178.88; }; empty-zones-enable no; dnssec-validat…“)
 
 
(26 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
*cat /etc/bind/named.conf.options
+
= DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa =
 +
 
 +
== Übersicht ==
 +
- Die Toplevel-Domain '''int.''' ist bereits mit '''DNSSEC signiert''' und läuft auf '''dnsgw.gw'''.
 +
- Die Second-Level-Zone '''it113.int''' wird auf '''ns.it113.int''' gehostet.
 +
- Die Reverse-Zone '''113.88.10.in-addr.arpa''' wird ebenfalls auf '''ns.it113.int''' verwaltet.
 +
- '''Ziel:''' DNSSEC-Signierung beider Zonen und Veröffentlichung der DS-Records in der Parent-Zone.
 +
 
 +
== Schlüssel für it113.int generieren (auf ns.it113.int) ==
 +
'''ZSK erzeugen'''
 +
*KSK_IT=$(dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE -K /var/cache/bind it113.int)
 +
*ZSK_IT=$(dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K /var/cache/bind it113.int)
 +
 
 +
== Schlüssel für 113.88.10.in-addr.arpa generieren (auf ns.it113.int) ==
 +
'''ZSK erzeugen'''
 +
*KSK_REV=$(dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE -K /var/cache/bind 113.88.10.in-addr.arpa)
 +
*ZSK_REV=$(dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K /var/cache/bind 113.88.10.in-addr.arpa)
 +
 
 +
== Schlüssel in die Zonendateien eintragen (auf ns.it113.int) ==
 +
'''it113.int'''
 +
*echo "\$INCLUDE /var/cache/bind/$KSK_IT.key" >> /var/cache/bind/it113.int
 +
*echo "\$INCLUDE /var/cache/bind/$ZSK_IT.key" >> /var/cache/bind/it113.int
 +
 
 +
'''113.88.10.in-addr.arpa'''
 +
*echo "\$INCLUDE /var/cache/bind/$KSK_REV.key" >> /var/cache/bind/113.88.10.in-addr.arpa
 +
*echo "\$INCLUDE /var/cache/bind/$ZSK_REV.key" >> /var/cache/bind/113.88.10.in-addr.arpa
 +
 
 +
== Zonen signieren (auf ns.it113.int) ==
 +
'''it113.int'''
 +
*dnssec-signzone -A -N INCREMENT -o it113.int -t /var/cache/bind/it113.int
 +
 
 +
'''113.88.10.in-addr.arpa'''
 +
*dnssec-signzone -A -N INCREMENT -o 113.88.10.in-addr.arpa -t /var/cache/bind/113.88.10.in-addr.arpa
 +
 
 +
== Bind konfigurieren, um die signierten Zonen zu verwenden (auf ns.it113.int) ==
 +
In der Datei '''/etc/bind/named.conf.local''':
 
<pre>
 
<pre>
options {
+
zone "it113.int" {
directory "/var/cache/bind";
+
    type master;
forwarders {
+
    file "/var/cache/bind/it113.int.signed";
192.168.178.88;
+
    allow-transfer { any; };
};
+
    allow-query { any; };
empty-zones-enable no;
+
};
dnssec-validation auto;
+
 
listen-on-v6 { none; };
+
zone "113.88.10.in-addr.arpa" {
 +
    type master;
 +
    file "/var/cache/bind/113.88.10.in-addr.arpa.signed";
 +
    allow-transfer { any; };
 +
    allow-query { any; };
 
};
 
};
 
</pre>
 
</pre>
<pre>
+
==dnssec-validation auf yes stellen==
 +
*cat  /etc/bind/named.conf.options
 +
options {
 +
directory "/var/cache/bind";
 +
dnssec-validation '''yes''';
 +
listen-on-v6 { none; };
 +
        forwarders { 192.168.3.88; };
 +
        empty-zones-enable no;
 +
};
 +
 
 +
== Konfiguration übernehmen und testen ==
 +
'''Bind9 neustarten und Zonenstatus prüfen'''
 +
*systemctl restart bind9
 +
*rndc reload
 +
*rndc zonestatus it113.int
 +
*rndc zonestatus 113.88.10.in-addr.arpa
 +
 
 +
== DS-Records an die Parent-Zonen übergeben ==
 +
'''it113.int'''
 +
*dnssec-dsfromkey -2 /var/cache/bind/$KSK_IT.key
 +
 
 +
Den ausgegebenen DS-Record in die Parent-Zone '''int.''' auf '''dnsgw.gw''' eintragen.
 +
 
 +
'''113.88.10.in-addr.arpa'''
 +
*dnssec-dsfromkey -2 /var/cache/bind/$KSK_REV.key
 +
Den ausgegebenen DS-Record in die übergeordnete Zone '''88.10.in-addr.arpa''' auf '''dnsgw.gw''' eintragen.
  
*cat /etc/bind/named.conf.local
+
== Toplevel-Zone neu signieren (auf dnsgw) ==
zone it113.int IN {
+
*dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int
    type master;
+
*dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t /var/cache/bind/88.10.in-addr.arpa
    file "it113.int";
 
};
 
  
zone 113.88.10.in-addr.arpa IN {
+
Neustart von BIND:
    type master;
+
*systemctl restart bind9
    file "113.88.10.in-addr.arpa";
 
};
 
</pre>
 
*cat it113.int 113.88.10.in-addr.arpa
 
<pre>
 
  
$TTL 300
+
== Überprüfung (auf beliebigem Client) ==
@   IN SOA  ns technik.xinux.de. (
+
'''it113.int'''
                        2011090204  ;
+
*dig +dnssec it113.int
                        14400  ;
+
*dig +dnssec www.it113.int
                        3600    ;
 
                        3600000 ;
 
                        86400  ;
 
                    )
 
        IN NS      ns
 
ns      IN A      10.88.113.2
 
www     IN A      10.88.113.22
 
</pre>
 
  
*cat it113.int 113.88.10.in-addr.arpa  
+
'''113.88.10.in-addr.arpa'''
<pre>
+
*dig +dnssec 113.88.10.in-addr.arpa
  
$TTL 300
+
Falls alles korrekt ist, sollte das '''AD-Bit''' (Authentic Data) gesetzt sein.
@   IN SOA  ns.it113.int. technik.xinux.de. (
 
                        2011090204  ;
 
                        14400  ;
 
                        3600    ;
 
                        3600000 ;
 
                        86400  ;
 
                    )
 
        IN NS      ns.it113.int.
 
2 IN PTR ns.it113.int.
 
22 IN PTR www.it113.int.
 
</pre>
 

Aktuelle Version vom 18. März 2025, 13:57 Uhr

DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa

Übersicht

- Die Toplevel-Domain int. ist bereits mit DNSSEC signiert und läuft auf dnsgw.gw. - Die Second-Level-Zone it113.int wird auf ns.it113.int gehostet. - Die Reverse-Zone 113.88.10.in-addr.arpa wird ebenfalls auf ns.it113.int verwaltet. - Ziel: DNSSEC-Signierung beider Zonen und Veröffentlichung der DS-Records in der Parent-Zone.

Schlüssel für it113.int generieren (auf ns.it113.int)

ZSK erzeugen

  • KSK_IT=$(dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE -K /var/cache/bind it113.int)
  • ZSK_IT=$(dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K /var/cache/bind it113.int)

Schlüssel für 113.88.10.in-addr.arpa generieren (auf ns.it113.int)

ZSK erzeugen

  • KSK_REV=$(dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE -K /var/cache/bind 113.88.10.in-addr.arpa)
  • ZSK_REV=$(dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K /var/cache/bind 113.88.10.in-addr.arpa)

Schlüssel in die Zonendateien eintragen (auf ns.it113.int)

it113.int

  • echo "\$INCLUDE /var/cache/bind/$KSK_IT.key" >> /var/cache/bind/it113.int
  • echo "\$INCLUDE /var/cache/bind/$ZSK_IT.key" >> /var/cache/bind/it113.int

113.88.10.in-addr.arpa

  • echo "\$INCLUDE /var/cache/bind/$KSK_REV.key" >> /var/cache/bind/113.88.10.in-addr.arpa
  • echo "\$INCLUDE /var/cache/bind/$ZSK_REV.key" >> /var/cache/bind/113.88.10.in-addr.arpa

Zonen signieren (auf ns.it113.int)

it113.int

  • dnssec-signzone -A -N INCREMENT -o it113.int -t /var/cache/bind/it113.int

113.88.10.in-addr.arpa

  • dnssec-signzone -A -N INCREMENT -o 113.88.10.in-addr.arpa -t /var/cache/bind/113.88.10.in-addr.arpa

Bind konfigurieren, um die signierten Zonen zu verwenden (auf ns.it113.int)

In der Datei /etc/bind/named.conf.local: 

zone "it113.int" {
    type master;
    file "/var/cache/bind/it113.int.signed";
    allow-transfer { any; };
    allow-query { any; };
};

zone "113.88.10.in-addr.arpa" {
    type master;
    file "/var/cache/bind/113.88.10.in-addr.arpa.signed";
    allow-transfer { any; };
    allow-query { any; };
};

dnssec-validation auf yes stellen

  • cat /etc/bind/named.conf.options
options {

directory "/var/cache/bind"; 

	dnssec-validation yes;
	listen-on-v6 { none; };
        forwarders { 192.168.3.88; };
        empty-zones-enable no;
};

Konfiguration übernehmen und testen

Bind9 neustarten und Zonenstatus prüfen

  • systemctl restart bind9
  • rndc reload
  • rndc zonestatus it113.int
  • rndc zonestatus 113.88.10.in-addr.arpa

DS-Records an die Parent-Zonen übergeben

it113.int

  • dnssec-dsfromkey -2 /var/cache/bind/$KSK_IT.key

Den ausgegebenen DS-Record in die Parent-Zone int. auf dnsgw.gw eintragen.

113.88.10.in-addr.arpa

  • dnssec-dsfromkey -2 /var/cache/bind/$KSK_REV.key

Den ausgegebenen DS-Record in die übergeordnete Zone 88.10.in-addr.arpa auf dnsgw.gw eintragen.

Toplevel-Zone neu signieren (auf dnsgw)

  • dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int
  • dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t /var/cache/bind/88.10.in-addr.arpa

Neustart von BIND:

  • systemctl restart bind9

Überprüfung (auf beliebigem Client)

it113.int

  • dig +dnssec it113.int
  • dig +dnssec www.it113.int

113.88.10.in-addr.arpa

  • dig +dnssec 113.88.10.in-addr.arpa

Falls alles korrekt ist, sollte das AD-Bit (Authentic Data) gesetzt sein.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Pseudo_second_level_domain_DNSSEC&oldid=60264