Pseudo top level domain von Basics zu DNSSEC: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „==Die Zonenfestlegung== *cat /etc/bind/named.conf.local zone "int" { type master; forwarders {}; '''file "int.signed";''' }; zone "88.10.i…“) |
|||
| Zeile 12: | Zeile 12: | ||
file "88.10.in-addr.arpa"; | file "88.10.in-addr.arpa"; | ||
}; | }; | ||
| + | ==DNSSEC Schlüssel erzeugen== | ||
| + | |||
| + | ;Für die Zone int | ||
| + | *dnssec-keygen -a RSASHA256 -b 2048 -n ZONE int | ||
| + | *dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE int | ||
| + | |||
| + | ==DNSKEY in die Zonen einbinden== | ||
| + | |||
| + | ;int | ||
| + | *for k in Kint*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/int; done | ||
| + | |||
| + | ==Zonen signieren== | ||
| + | |||
| + | *dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int | ||
| + | |||
| + | |||
| + | ;Erzeugt | ||
| + | <pre> | ||
| + | /var/cache/bind/int.signed | ||
| + | </pre> | ||
| + | |||
| + | ==Dienst neu starten== | ||
| + | *systemctl restart bind9 | ||
| + | |||
| + | ==Überprüfung== | ||
| + | *dig @192.168.6.88 int DNSKEY +dnssec | ||
| + | |||
| + | ;DNSKEY und RRSIG Einträge müssen sichtbar sein | ||
| + | |||
| + | =Trust-Anker auf einem validierenden Resolver= | ||
| + | |||
| + | ;KSK ermitteln | ||
| + | *dig DNSKEY int @192.168.6.88 +short | ||
| + | |||
| + | ;Nur der Key mit Kennung 257 3 13 wird verwendet | ||
| + | |||
| + | ;Auf dem Resolver eintragen | ||
| + | *cat /etc/bind/named.conf.options | ||
| + | <pre> | ||
| + | managed-keys { | ||
| + | int. initial-key 257 3 13 "BASE64-KSK-HIER-EINFÜGEN"; | ||
| + | }; | ||
| + | </pre> | ||
| + | |||
| + | *systemctl restart bind9 | ||
| + | |||
| + | =Ergebnis= | ||
| + | *Der Fake Root .int ist signiert | ||
| + | *Delegationen funktionieren wie zuvor | ||
| + | *DNSSEC beginnt beim Resolver durch expliziten Trust-Anker | ||
Version vom 2. Juni 2026, 14:11 Uhr
Die Zonenfestlegung
- cat /etc/bind/named.conf.local
zone "int" {
type master;
forwarders {};
file "int.signed";
};
zone "88.10.in-addr.arpa" {
type master;
forwarders {};
file "88.10.in-addr.arpa";
};
DNSSEC Schlüssel erzeugen
- Für die Zone int
- dnssec-keygen -a RSASHA256 -b 2048 -n ZONE int
- dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE int
DNSKEY in die Zonen einbinden
- int
- for k in Kint*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/int; done
Zonen signieren
- dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int
- Erzeugt
/var/cache/bind/int.signed
Dienst neu starten
- systemctl restart bind9
Überprüfung
- dig @192.168.6.88 int DNSKEY +dnssec
- DNSKEY und RRSIG Einträge müssen sichtbar sein
Trust-Anker auf einem validierenden Resolver
- KSK ermitteln
- dig DNSKEY int @192.168.6.88 +short
- Nur der Key mit Kennung 257 3 13 wird verwendet
- Auf dem Resolver eintragen
- cat /etc/bind/named.conf.options
managed-keys {
int. initial-key 257 3 13 "BASE64-KSK-HIER-EINFÜGEN";
};
- systemctl restart bind9
Ergebnis
- Der Fake Root .int ist signiert
- Delegationen funktionieren wie zuvor
- DNSSEC beginnt beim Resolver durch expliziten Trust-Anker