Pseudo second level domain DNSSEC: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
 +
=Zonen ohne DNSSEC=
 
*cat /etc/bind/named.conf.options  
 
*cat /etc/bind/named.conf.options  
 
<pre>
 
<pre>

Version vom 13. März 2025, 05:31 Uhr

Zonen ohne DNSSEC

  • cat /etc/bind/named.conf.options
options {
	directory "/var/cache/bind";
	 forwarders {
	 	192.168.178.88;
	 };
	empty-zones-enable no;
	dnssec-validation auto;
	listen-on-v6 { none; };
};


*cat /etc/bind/named.conf.local 
zone it113.int IN {
     type master;
     file "it113.int";
};

zone 113.88.10.in-addr.arpa IN {
     type master;
     file "113.88.10.in-addr.arpa";
};
  • cat it113.int

$TTL 300
@ 		  IN SOA  ns technik.xinux.de. (
                        2011090204  ;
                        14400   ;
                        3600    ;
                        3600000 ;
                        86400   ;
                    )
        IN NS      ns
ns      IN A       10.88.113.2
www     IN A       10.88.113.22
  • cat 113.88.10.in-addr.arpa

$TTL 300
@ 		  IN SOA  ns.it113.int. technik.xinux.de. (
                        2011090204  ;
                        14400   ;
                        3600    ;
                        3600000 ;
                        86400   ;
                    )
        IN NS      ns.it113.int.
2	IN	PTR ns.it113.int.
22	IN	PTR www.it113.int.

DNSSEC für die Second-Level-Domain it113.int

Übersicht

  • Die Toplevel-Domain int. ist bereits mit DNSSEC signiert und läuft auf dnsgw.gw.
  • Die Second-Level-Domain it113.int wird auf ns.it113.int gehostet.
  • Ziel: DNSSEC-Signierung von it113.int und Veröffentlichung des DS-Records in der Parent-Zone int..

1. Schlüssel für it113.int generieren (auf ns.it113.int)

  • dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE it113.int
  • dnssec-keygen -a RSASHA256 -b 1024 -n ZONE it113.int

2. Schlüssel in die Zonendatei eintragen (auf ns.it113.int)

  • cat K*.key >> /etc/bind/zones/it113.int.zone

3. Zone signieren (auf ns.it113.int)

  • dnssec-signzone -A -N INCREMENT -o it113.int -t /etc/bind/zones/it113.int.zone

Ergebnis: Die signierte Datei it113.int.zone.signed.

4. Bind konfigurieren, um die signierte Zone zu verwenden (auf ns.it113.int)

Zonendatei in /etc/bind/named.conf.local anpassen: 

zone "it113.int" {
    type master;
    file "/etc/bind/zones/it113.int.zone.signed";
    allow-transfer { any; }; 
    allow-query { any; };
};

Neustart von BIND:

  • systemctl restart bind9

5. DS-Records an die Toplevel-Domain übergeben (auf ns.it113.int)

  • dig +short DS it113.int

Den ausgegebenen DS-Record in die Zonendatei von int. auf dnsgw.gw eintragen.

6. DS-Record in der Toplevel-Domain veröffentlichen (auf dnsgw.gw)

In der Datei /etc/bind/zones/int.zone: 

it113.int. IN DS 12345 8 2 49FD74D5C4A7AE7D15A57A15B22D...

7. Toplevel-Zone neu signieren (auf dnsgw.gw)

  • dnssec-signzone -A -N INCREMENT -o int -t /etc/bind/zones/int.zone

Neustart von BIND:

  • systemctl restart bind9

8. Überprüfung (auf beliebigem Client)

  • dig +dnssec it113.int
  • dig +dnssec www.it113.int

Falls alles korrekt ist, sollte das AD-Bit (Authentic Data) gesetzt sein. }}

Abgerufen von „http://wiki.ixheim.de/index.php?title=Pseudo_second_level_domain_DNSSEC&oldid=59669