Pseudo second level domain Basics: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 30: | Zeile 30: | ||
allow-query { any; }; | allow-query { any; }; | ||
}; | }; | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
==Trust-Anker für Fake Root (.int)== | ==Trust-Anker für Fake Root (.int)== | ||
Version vom 8. März 2026, 11:29 Uhr
Klonen des Templates
- Erstellen eines Nameservers laut Plan
- Name ns.it2XX.int
- Vorläufiger DNS ist der 192.168.X.88
- Der Server ist autoritativ UND rekursiv validierend
Installation
- apt update
- apt install bind9 bind9-utils
Auf den Nameservern
Trust Anker einfügen
- cd /etc/bind/
- wget http://192.168.X.88/trust-anchors.conf
- echo 'include "/etc/bind/trust-anchors.conf";' >> named.conf
Optionen
- cat /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
forwarders { 192.168.X.88; };
empty-zones-enable no;
recursion yes;
dnssec-validation auto;
allow-query { any; };
};
==Trust-Anker für Fake Root (.int)==
;KSK der Zone int vom Fake Root ermitteln
*dig DNSKEY int @192.168.X.88 +short
;Nur der Key mit Kennung 257 3 13 wird verwendet
;Eintragen in /etc/bind/named.conf.options (siehe oben)
*systemctl restart bind9
==Zonenfestlegung==
*cat /etc/bind/named.conf.local
<pre>
zone "it213.int" IN {
type master;
file "it213.int.signed";
};
zone "213.88.10.in-addr.arpa" IN {
type master;
file "213.88.10.in-addr.arpa.signed";
};
Zonen selbst (unsigniert)
- cat /var/cache/bind/it213.int
$TTL 300
@ IN SOA ns.it213.int. technik.xinux.de. (
2011090204
14400
3600
3600000
86400
)
IN NS ns
ns IN A 10.88.213.21
www IN A 10.88.213.22
- cat /var/cache/bind/213.88.10.in-addr.arpa
$TTL 300
@ IN SOA ns.it213.int. technik.xinux.de. (
2011090204
14400
3600
3600000
86400
)
IN NS ns.it213.int.
21 IN PTR ns.it213.int.
22 IN PTR www.it213.int.
DNSSEC Schlüssel erzeugen
- Forward Zone
- dnssec-keygen -a RSASHA256 -b 2048 -n ZONE it213.int
- dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE it213.int
- Reverse Zone
- dnssec-keygen -a RSASHA256 -b 2048 -n ZONE 213.88.10.in-addr.arpa
- dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE 213.88.10.in-addr.arpa
DNSKEY einbinden
- Forward
- for k in Kit213.int*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/it213.int; done
- Reverse
- for k in K213.88.10.in-addr.arpa*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/213.88.10.in-addr.arpa; done
Zonen signieren
- dnssec-signzone -A -N INCREMENT -o it213.int -t /var/cache/bind/it213.int
- dnssec-signzone -A -N INCREMENT -o 213.88.10.in-addr.arpa -t /var/cache/bind/213.88.10.in-addr.arpa
- Erzeugt
/var/cache/bind/it213.int.signed /var/cache/bind/213.88.10.in-addr.arpa.signed
- systemctl restart bind9
DS Record für Fake Root erzeugen
- KSK anzeigen
- dig DNSKEY it213.int @127.0.0.1 +short
- DS erzeugen
- dnssec-dsfromkey Kit213.int.+008+XXXXX.key
- DS Eintrag an Fake Root weitergeben
- Im Fake Root in Zone int einfügen
- Beispiel
- it213 IN DS 12345 13 2 ABCDEF123456....
Handling und Logging
- systemctl restart bind9
- journalctl -fu bind9
- journalctl -u bind9 -g it213.int
Validierungstest
- Forward Validierung
- dig www.it213.int +dnssec
- Antwort muss AD-Flag enthalten