Aktuelle Version vom 2. Juni 2026, 14:56 Uhr

Die Zonenfestlegung

cat /etc/bind/named.conf.local

zone "int" {
    type master;
    forwarders {};
     file "int.signed";
}; 

zone "88.10.in-addr.arpa" {
    type master;
    forwarders {};
    file "88.10.in-addr.arpa";
};

DNSSEC Schlüssel erzeugen

Für die Zone int

cd /var/cache/bind
dnssec-keygen -a ECDSAP256SHA256 -n ZONE int
dnssec-keygen -a ECDSAP256SHA256 -f KSK -n ZONE int

DNSKEY in die Zonen einbinden

int

for k in Kint*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/int; done

Zonen signieren

dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int

Erzeugt

/var/cache/bind/int.signed

Dienst neu starten

systemctl restart bind9

Überprüfung

dig @127.0.0.1 int DNSKEY +dnssec

DNSKEY und RRSIG Einträge müssen sichtbar sein

Trust-Anker auf einem validierenden Resolver

KSK ermitteln

dig DNSKEY int @127.0.0.1 +short

Nur der Key mit Flags 257 (KSK) wird verwendet

cat trust-anchors.conf

 managed-keys {
 //Example
 int. initial-key  257 3 13 "mESVbGog5J8ELV3nr+N7+kER2EH9kNDCQNJpgx4vqdVsa2WA6y9FD0WP l1WGzcHhAOQ8tTUrX53BRGxxBKl+3A==";
};

Auf die Resover kopieren und dort so inkludieren:

cat /etc/bind/named.conf

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/trust-anchors.conf";

systemctl restart named

Ergebnis

Der Fake Root .int ist signiert
Delegationen funktionieren wie zuvor
DNSSEC beginnt beim Resolver durch expliziten Trust-Anker

@@ Zeile 4: / Zeile 4: @@
       type master;
       forwarders {};
-     '''file "int.signed";'''
+      <span style="color:red">'''file "int.signed";'''</span>
   };
@@ Zeile 12: / Zeile 12: @@
       file "88.10.in-addr.arpa";
   };
 ==DNSSEC Schlüssel erzeugen==
 ;Für die Zone int
-*dnssec-keygen -a RSASHA256 -b 2048 -n ZONE int
+*cd /var/cache/bind
-*dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE int
+*dnssec-keygen -a ECDSAP256SHA256 -n ZONE int
+*dnssec-keygen -a ECDSAP256SHA256 -f KSK -n ZONE int
 ==DNSKEY in die Zonen einbinden==
 ;int
 *for k in Kint*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/int; done
 ==Zonen signieren==
 *dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int
 ;Erzeugt
 <pre>
 /var/cache/bind/int.signed
 </pre>
 ==Dienst neu starten==
 *systemctl restart bind9
 ==Überprüfung==
-*dig @192.168.6.88 int DNSKEY +dnssec
+*dig @127.0.0.1 int DNSKEY +dnssec
 ;DNSKEY und RRSIG Einträge müssen sichtbar sein
 =Trust-Anker auf einem validierenden Resolver=
 ;KSK ermitteln
-*dig DNSKEY int @192.168.6.88 +short
+*dig DNSKEY int @127.0.0.1 +short
+;Nur der Key mit Flags 257 (KSK) wird verwendet
-;Nur der Key mit Kennung 257 3 13 wird verwendet
+*cat trust-anchors.conf
+  managed-keys {
-;Auf dem Resolver eintragen
+  //Example
-*cat /etc/bind/named.conf.options
+  int. initial-key  257 3 13 "mESVbGog5J8ELV3nr+N7+kER2EH9kNDCQNJpgx4vqdVsa2WA6y9FD0WP l1WGzcHhAOQ8tTUrX53BRGxxBKl+3A==";
-<pre>
+ };
-managed-keys {
+Auf die Resover kopieren und dort so inkludieren:
-   int. initial-key 257 3 13 "BASE64-KSK-HIER-EINFÜGEN";
+*cat /etc/bind/named.conf
-};
+ include "/etc/bind/named.conf.options";
-</pre>
+ include "/etc/bind/named.conf.local";
+ include "/etc/bind/named.conf.default-zones";
+ include "/etc/bind/trust-anchors.conf";
-*systemctl restart bind9
+*systemctl restart named
 =Ergebnis=

Pseudo top level domain von Basics zu DNSSEC: Unterschied zwischen den Versionen

Aktuelle Version vom 2. Juni 2026, 14:56 Uhr

Inhaltsverzeichnis

Die Zonenfestlegung

DNSSEC Schlüssel erzeugen

DNSKEY in die Zonen einbinden

Zonen signieren

Dienst neu starten

Überprüfung

Trust-Anker auf einem validierenden Resolver

Ergebnis

Navigationsmenü

Suche