Dnssec Praxis: Unterschied zwischen den Versionen

Aktuelle Version vom 3. März 2025, 16:55 Uhr

Aktivierung von DNSSEC für die Zone int

Diese Anleitung beschreibt die vollständige Einrichtung von DNSSEC für die Zone int unter BIND.

Voraussetzungen

Der BIND-Server muss mit DNSSEC-Unterstützung kompiliert sein.
Die Tools dnssec-keygen und dnssec-signzone müssen installiert sein.

Erstellen des Schlüsselverzeichnisses

Damit die Schlüsseldateien ordentlich verwaltet werden, wird ein Verzeichnis für die DNSSEC-Schlüssel angelegt:

mkdir -p /var/cache/bind/keys
cd /var/cache/bind/keys

Schlüsselerzeugung

Es werden zwei Schlüssel benötigt: ein Key Signing Key (KSK) und ein Zone Signing Key (ZSK).

Erzeugen des KSK

dnssec-keygen -a RSASHA256 -b 2048 -f KSK int

Erzeugen des ZSK

dnssec-keygen -a RSASHA256 -b 1024  int

Nach der Ausführung dieser Befehle befinden sich mehrere Dateien im Verzeichnis /var/cache/bind/keys. Die relevanten Schlüsseldateien haben das Format:

Kint.+008+XXXXX.key (öffentlicher Schlüssel)
Kint.+008+XXXXX.private (privater Schlüssel)

Einfügen der Schlüssel in die Zonendatei

Die öffentlichen Schlüssel müssen in die Zonendatei /var/cache/bind/int aufgenommen werden:

cat /var/cache/bind/keys/Kint.+008+*.key >> /var/cache/bind/int

Signieren der Zone

Nun wird die Zone signiert:

dnssec-signzone -A -o int -t /var/cache/bind/int

Dabei wird eine neue signierte Datei int.signed erzeugt.

Konfiguration von BIND

Die Konfigurationsdatei named.conf muss angepasst werden, damit BIND die signierte Zonendatei nutzt:

zone "int" {
    type master;
    file "/var/cache/bind/int.signed";
    allow-query { any; };
};

Neustart von BIND

Nach den Änderungen muss BIND neu gestartet werden:

systemctl restart bind9

Eintragen des DS-Records

Falls die Zone int delegiert ist, muss der DS-Record an die übergeordnete Instanz weitergegeben werden. Dieser kann mit folgendem Befehl extrahiert werden:

dnssec-dsfromkey -f /var/cache/bind/keys/Kint.+008+XXXXX.key int

Überprüfung von DNSSEC

Die Konfiguration kann mit folgendem Befehl überprüft werden:

dig +dnssec @127.0.0.1 int SOA

Falls die Signatur gültig ist, sollte ein RRSIG-Eintrag in der Ausgabe erscheinen.

Damit ist DNSSEC für die Zone int erfolgreich eingerichtet.

@@ Zeile 1: / Zeile 1: @@
-==== Aktivierung von DNSSEC für die Zone 88.10.in-addr.arpa ====
+==== Aktivierung von DNSSEC für die Zone int ====
-Um DNSSEC für die Reverse-Zone '''88.10.in-addr.arpa''' unter BIND zu aktivieren, sind folgende Schritte notwendig.
+Diese Anleitung beschreibt die vollständige Einrichtung von DNSSEC für die Zone '''int''' unter BIND.
 ==== Voraussetzungen ====
 * Der BIND-Server muss mit DNSSEC-Unterstützung kompiliert sein.
-* Die benötigten Werkzeuge wie '''dnssec-keygen''' und '''dnssec-signzone''' müssen vorhanden sein.
+* Die Tools '''dnssec-keygen''' und '''dnssec-signzone''' müssen installiert sein.
+==== Erstellen des Schlüsselverzeichnisses ====
+Damit die Schlüsseldateien ordentlich verwaltet werden, wird ein Verzeichnis für die DNSSEC-Schlüssel angelegt:
+<pre>
+mkdir -p /var/cache/bind/keys
+cd /var/cache/bind/keys
+</pre>
 ==== Schlüsselerzeugung ====
-Zunächst werden ein Key Signing Key (KSK) und ein Zone Signing Key (ZSK) erzeugt.
+Es werden zwei Schlüssel benötigt: ein Key Signing Key (KSK) und ein Zone Signing Key (ZSK).
 '''Erzeugen des KSK'''
 <pre>
-dnssec-keygen -a RSASHA256 -b 2048 -f KSK -r /dev/urandom 88.10.in-addr.arpa
+dnssec-keygen -a RSASHA256 -b 2048 -f KSK int
 </pre>
 '''Erzeugen des ZSK'''
 <pre>
-dnssec-keygen -a RSASHA256 -b 1024 -r /dev/urandom 88.10.in-addr.arpa
+dnssec-keygen -a RSASHA256 -b 1024  int
 </pre>
-Dies generiert mehrere Dateien, darunter die öffentlichen Schlüssel '''K88.10.in-addr.arpa.+008+xxxxx.key''' und die privaten Schlüssel '''K88.10.in-addr.arpa.+008+xxxxx.private'''.
+Nach der Ausführung dieser Befehle befinden sich mehrere Dateien im Verzeichnis '''/var/cache/bind/keys'''. Die relevanten Schlüsseldateien haben das Format:
+* '''Kint.+008+XXXXX.key''' (öffentlicher Schlüssel)
+* '''Kint.+008+XXXXX.private''' (privater Schlüssel)
-==== Schlüssel in die Zone einfügen ====
+==== Einfügen der Schlüssel in die Zonendatei ====
-Die öffentlichen Schlüssel müssen in die Zonendatei '''88.10.in-addr.arpa''' eingefügt werden.
+Die öffentlichen Schlüssel müssen in die Zonendatei '''/var/cache/bind/int''' aufgenommen werden:
 <pre>
-cat K88.10.in-addr.arpa.+008+*.key >> /var/cache/bind/88.10.in-addr.arpa
+cat /var/cache/bind/keys/Kint.+008+*.key >> /var/cache/bind/int
 </pre>
@@ Zeile 33: / Zeile 43: @@
 <pre>
-dnssec-signzone -A -o 88.10.in-addr.arpa -t /var/cache/bind/88.10.in-addr.arpa
+dnssec-signzone -A -o int -t /var/cache/bind/int
 </pre>
-Dabei wird eine neue signierte Datei '''88.10.in-addr.arpa.signed''' erzeugt.
+Dabei wird eine neue signierte Datei '''int.signed''' erzeugt.
 ==== Konfiguration von BIND ====
@@ Zeile 42: / Zeile 52: @@
 <pre>
-zone "88.10.in-addr.arpa" {
+zone "int" {
      type master;
-     file "/var/cache/bind/88.10.in-addr.arpa.signed";
+     file "/var/cache/bind/int.signed";
      allow-query { any; };
 };
@@ Zeile 57: / Zeile 67: @@
 ==== Eintragen des DS-Records ====
-Der DS-Record für die übergeordnete Zone wird extrahiert:
+Falls die Zone '''int''' delegiert ist, muss der DS-Record an die übergeordnete Instanz weitergegeben werden. Dieser kann mit folgendem Befehl extrahiert werden:
 <pre>
-dnssec-dsfromkey -f K88.10.in-addr.arpa.+008+xxxxx.key 88.10.in-addr.arpa
+dnssec-dsfromkey -f /var/cache/bind/keys/Kint.+008+XXXXX.key int
 </pre>
-Falls die Zone delegiert ist, muss dieser DS-Record an die zuständige übergeordnete Instanz weitergegeben werden.
 ==== Überprüfung von DNSSEC ====
@@ Zeile 69: / Zeile 77: @@
 <pre>
-dig +dnssec @127.0.0.1 88.10.in-addr.arpa SOA
+dig +dnssec @127.0.0.1 int SOA
 </pre>
 Falls die Signatur gültig ist, sollte ein '''RRSIG'''-Eintrag in der Ausgabe erscheinen.
-Damit ist DNSSEC für die Zone '''88.10.in-addr.arpa''' erfolgreich eingerichtet.
+Damit ist DNSSEC für die Zone '''int''' erfolgreich eingerichtet.