Dnssec bind9: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 36: | Zeile 36: | ||
=Zone Signing Key (ZSK) generieren= | =Zone Signing Key (ZSK) generieren= | ||
Den Zone Signing Key erzeugt man im Anschluß daran wie folgt, gefolgt von einer Neuzuordnung der Dateiattribute. | Den Zone Signing Key erzeugt man im Anschluß daran wie folgt, gefolgt von einer Neuzuordnung der Dateiattribute. | ||
| − | *'''dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE | + | *'''dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE kit.lab''' |
*'''chown -R bind:bind /etc/bind/keys/''' | *'''chown -R bind:bind /etc/bind/keys/''' | ||
=Quellen= | =Quellen= | ||
*https://www.linuxmaker.com/linux/bind9-mit-dnssec-absichern/konfiguration-von-dnssec.html | *https://www.linuxmaker.com/linux/bind9-mit-dnssec-absichern/konfiguration-von-dnssec.html | ||
Version vom 14. Februar 2023, 15:37 Uhr
Grundkonfiguration
- cat /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
key-directory "/var/bind/keys";
dnssec-validation auto;
};
Verzeichnis erstellen
- mkdir -p /etc/bind/keys/
- chown -R bind:bind /etc/bind/keys/
Key Signing Key (KSK) generieren
- cd /etc/bind/keys/
- dnssec-keygen -3 -a RSASHA512 -b 4096 -n ZONE -f KSK kit.lab
| Option | Wirkung |
|---|---|
| -3 | aktiviert das gewünschte NSEC3 |
| -a | bestimmt den Typ der Signatur |
| -b | gibt die gewünschte Blockgröße an |
| -n | spezifiziert den Nametyp wie ZONE, HOST, USER |
| -f | speziell für KSK muss diese Flag gesetzt werden |
Zone Signing Key (ZSK) generieren
Den Zone Signing Key erzeugt man im Anschluß daran wie folgt, gefolgt von einer Neuzuordnung der Dateiattribute.
- dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE kit.lab
- chown -R bind:bind /etc/bind/keys/