Dnssec Praxis: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „==== Aktivierung von DNSSEC für die Zone 88.10.in-addr.arpa ==== Um DNSSEC für die Reverse-Zone '''88.10.in-addr.arpa''' unter BIND zu aktivieren, sind folg…“) |
|||
| Zeile 1: | Zeile 1: | ||
| − | |||
| − | Um DNSSEC für die | + | ==== Aktivierung von DNSSEC für die Zone int ==== |
| + | |||
| + | Um DNSSEC für die Zone '''int''' unter BIND zu aktivieren, sind folgende Schritte notwendig. | ||
==== Voraussetzungen ==== | ==== Voraussetzungen ==== | ||
* Der BIND-Server muss mit DNSSEC-Unterstützung kompiliert sein. | * Der BIND-Server muss mit DNSSEC-Unterstützung kompiliert sein. | ||
| − | * Die | + | * Die Werkzeuge '''dnssec-keygen''' und '''dnssec-signzone''' müssen installiert sein. |
==== Schlüsselerzeugung ==== | ==== Schlüsselerzeugung ==== | ||
| − | Zunächst werden ein Key Signing Key (KSK) und ein Zone Signing Key (ZSK) | + | Zunächst werden ein Key Signing Key (KSK) und ein Zone Signing Key (ZSK) erstellt. |
'''Erzeugen des KSK''' | '''Erzeugen des KSK''' | ||
<pre> | <pre> | ||
| − | dnssec-keygen -a RSASHA256 -b 2048 -f KSK -r /dev/urandom | + | dnssec-keygen -a RSASHA256 -b 2048 -f KSK -r /dev/urandom int |
</pre> | </pre> | ||
'''Erzeugen des ZSK''' | '''Erzeugen des ZSK''' | ||
<pre> | <pre> | ||
| − | dnssec-keygen -a RSASHA256 -b 1024 -r /dev/urandom | + | dnssec-keygen -a RSASHA256 -b 1024 -r /dev/urandom int |
</pre> | </pre> | ||
| − | Dies generiert mehrere Dateien, darunter die öffentlichen Schlüssel ''' | + | Dies generiert mehrere Dateien, darunter die öffentlichen Schlüssel '''Kint.+008+xxxxx.key''' und die privaten Schlüssel '''Kint.+008+xxxxx.private'''. |
| − | ==== Schlüssel in die Zone einfügen ==== | + | ==== Schlüssel in die Zone int einfügen ==== |
| − | Die öffentlichen Schlüssel müssen in die Zonendatei ''' | + | Die öffentlichen Schlüssel müssen in die Zonendatei '''int''' eingefügt werden. |
<pre> | <pre> | ||
| − | cat | + | cat Kint.+008+*.key >> /var/cache/bind/int |
</pre> | </pre> | ||
| Zeile 33: | Zeile 34: | ||
<pre> | <pre> | ||
| − | dnssec-signzone -A -o | + | dnssec-signzone -A -o int -t /var/cache/bind/int |
</pre> | </pre> | ||
| − | Dabei wird eine neue signierte Datei ''' | + | Dabei wird eine neue signierte Datei '''int.signed''' erzeugt. |
==== Konfiguration von BIND ==== | ==== Konfiguration von BIND ==== | ||
| Zeile 42: | Zeile 43: | ||
<pre> | <pre> | ||
| − | zone " | + | zone "int" { |
type master; | type master; | ||
| − | file "/var/cache/bind/ | + | file "/var/cache/bind/int.signed"; |
allow-query { any; }; | allow-query { any; }; | ||
}; | }; | ||
| Zeile 57: | Zeile 58: | ||
==== Eintragen des DS-Records ==== | ==== Eintragen des DS-Records ==== | ||
| − | + | Falls die Zone '''int''' delegiert ist, muss der DS-Record an die übergeordnete Instanz weitergegeben werden. Dieser kann mit folgendem Befehl extrahiert werden: | |
<pre> | <pre> | ||
| − | dnssec-dsfromkey -f | + | dnssec-dsfromkey -f Kint.+008+xxxxx.key int |
</pre> | </pre> | ||
| − | |||
| − | |||
==== Überprüfung von DNSSEC ==== | ==== Überprüfung von DNSSEC ==== | ||
| Zeile 69: | Zeile 68: | ||
<pre> | <pre> | ||
| − | dig +dnssec @127.0.0.1 | + | dig +dnssec @127.0.0.1 int SOA |
</pre> | </pre> | ||
Falls die Signatur gültig ist, sollte ein '''RRSIG'''-Eintrag in der Ausgabe erscheinen. | Falls die Signatur gültig ist, sollte ein '''RRSIG'''-Eintrag in der Ausgabe erscheinen. | ||
| − | Damit ist DNSSEC für die Zone ''' | + | Damit ist DNSSEC für die Zone '''int''' erfolgreich eingerichtet. |
Version vom 3. März 2025, 16:51 Uhr
Aktivierung von DNSSEC für die Zone int
Um DNSSEC für die Zone int unter BIND zu aktivieren, sind folgende Schritte notwendig.
Voraussetzungen
- Der BIND-Server muss mit DNSSEC-Unterstützung kompiliert sein.
- Die Werkzeuge dnssec-keygen und dnssec-signzone müssen installiert sein.
Schlüsselerzeugung
Zunächst werden ein Key Signing Key (KSK) und ein Zone Signing Key (ZSK) erstellt.
Erzeugen des KSK
dnssec-keygen -a RSASHA256 -b 2048 -f KSK -r /dev/urandom int
Erzeugen des ZSK
dnssec-keygen -a RSASHA256 -b 1024 -r /dev/urandom int
Dies generiert mehrere Dateien, darunter die öffentlichen Schlüssel Kint.+008+xxxxx.key und die privaten Schlüssel Kint.+008+xxxxx.private.
Schlüssel in die Zone int einfügen
Die öffentlichen Schlüssel müssen in die Zonendatei int eingefügt werden.
cat Kint.+008+*.key >> /var/cache/bind/int
Signieren der Zone
Nun wird die Zone signiert:
dnssec-signzone -A -o int -t /var/cache/bind/int
Dabei wird eine neue signierte Datei int.signed erzeugt.
Konfiguration von BIND
Die Konfigurationsdatei named.conf muss angepasst werden, damit BIND die signierte Zonendatei nutzt:
zone "int" {
type master;
file "/var/cache/bind/int.signed";
allow-query { any; };
};
Neustart von BIND
Nach den Änderungen muss BIND neu gestartet werden:
systemctl restart bind9
Eintragen des DS-Records
Falls die Zone int delegiert ist, muss der DS-Record an die übergeordnete Instanz weitergegeben werden. Dieser kann mit folgendem Befehl extrahiert werden:
dnssec-dsfromkey -f Kint.+008+xxxxx.key int
Überprüfung von DNSSEC
Die Konfiguration kann mit folgendem Befehl überprüft werden:
dig +dnssec @127.0.0.1 int SOA
Falls die Signatur gültig ist, sollte ein RRSIG-Eintrag in der Ausgabe erscheinen.
Damit ist DNSSEC für die Zone int erfolgreich eingerichtet.