Pseudo top level domain von Basics zu DNSSEC: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
==Die Zonenfestlegung== | ==Die Zonenfestlegung== | ||
*cat /etc/bind/named.conf.local | *cat /etc/bind/named.conf.local | ||
| − | < | + | zone "int" { |
| − | zone " | + | type master; |
| − | + | forwarders {}; | |
| − | + | <span style="color:red">'''file "int.signed";'''</span> | |
| − | + | }; | |
| − | }; | + | |
| + | zone "88.10.in-addr.arpa" { | ||
| + | type master; | ||
| + | forwarders {}; | ||
| + | file "88.10.in-addr.arpa"; | ||
| + | }; | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
==DNSSEC Schlüssel erzeugen== | ==DNSSEC Schlüssel erzeugen== | ||
;Für die Zone int | ;Für die Zone int | ||
| Zeile 39: | Zeile 38: | ||
*dig DNSKEY int @127.0.0.1 +short | *dig DNSKEY int @127.0.0.1 +short | ||
;Nur der Key mit Flags 257 (KSK) wird verwendet | ;Nur der Key mit Flags 257 (KSK) wird verwendet | ||
| − | |||
*cat trust-anchors.conf | *cat trust-anchors.conf | ||
| − | + | managed-keys { | |
| + | //Example | ||
int. initial-key 257 3 13 "mESVbGog5J8ELV3nr+N7+kER2EH9kNDCQNJpgx4vqdVsa2WA6y9FD0WP l1WGzcHhAOQ8tTUrX53BRGxxBKl+3A=="; | int. initial-key 257 3 13 "mESVbGog5J8ELV3nr+N7+kER2EH9kNDCQNJpgx4vqdVsa2WA6y9FD0WP l1WGzcHhAOQ8tTUrX53BRGxxBKl+3A=="; | ||
}; | }; | ||
| − | Auf die Resover kopieren und dort so | + | Auf die Resover kopieren und dort so inkludieren: |
*cat /etc/bind/named.conf | *cat /etc/bind/named.conf | ||
include "/etc/bind/named.conf.options"; | include "/etc/bind/named.conf.options"; | ||
| Zeile 51: | Zeile 50: | ||
include "/etc/bind/trust-anchors.conf"; | include "/etc/bind/trust-anchors.conf"; | ||
| − | *systemctl restart | + | *systemctl restart named |
=Ergebnis= | =Ergebnis= | ||
Aktuelle Version vom 2. Juni 2026, 14:56 Uhr
Die Zonenfestlegung
- cat /etc/bind/named.conf.local
zone "int" {
type master;
forwarders {};
file "int.signed";
};
zone "88.10.in-addr.arpa" {
type master;
forwarders {};
file "88.10.in-addr.arpa";
};
DNSSEC Schlüssel erzeugen
- Für die Zone int
- cd /var/cache/bind
- dnssec-keygen -a ECDSAP256SHA256 -n ZONE int
- dnssec-keygen -a ECDSAP256SHA256 -f KSK -n ZONE int
DNSKEY in die Zonen einbinden
- int
- for k in Kint*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/int; done
Zonen signieren
- dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int
- Erzeugt
/var/cache/bind/int.signed
Dienst neu starten
- systemctl restart bind9
Überprüfung
- dig @127.0.0.1 int DNSKEY +dnssec
- DNSKEY und RRSIG Einträge müssen sichtbar sein
Trust-Anker auf einem validierenden Resolver
- KSK ermitteln
- dig DNSKEY int @127.0.0.1 +short
- Nur der Key mit Flags 257 (KSK) wird verwendet
- cat trust-anchors.conf
managed-keys {
//Example
int. initial-key 257 3 13 "mESVbGog5J8ELV3nr+N7+kER2EH9kNDCQNJpgx4vqdVsa2WA6y9FD0WP l1WGzcHhAOQ8tTUrX53BRGxxBKl+3A==";
};
Auf die Resover kopieren und dort so inkludieren:
- cat /etc/bind/named.conf
include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; include "/etc/bind/trust-anchors.conf";
- systemctl restart named
Ergebnis
- Der Fake Root .int ist signiert
- Delegationen funktionieren wie zuvor
- DNSSEC beginnt beim Resolver durch expliziten Trust-Anker