Pseudo second level domain DNSSEC: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
= DNSSEC für die Second-Level-Domain it113.int =
+
= DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa =
  
 
== Übersicht ==
 
== Übersicht ==
* Die Toplevel-Domain '''int.''' ist bereits mit '''DNSSEC signiert''' und läuft auf '''dnsgw.gw'''.
+
- Die Toplevel-Domain '''int.''' ist bereits mit '''DNSSEC signiert''' und läuft auf '''dnsgw.gw'''.
* Die Second-Level-Domain '''it113.int''' wird auf '''ns.it113.int''' gehostet.
+
- Die Second-Level-Zone '''it113.int''' wird auf '''ns.it113.int''' gehostet.
* '''Ziel:''' DNSSEC-Signierung von '''it113.int''' und Veröffentlichung des DS-Records in der Parent-Zone ''int.''.
+
- Die Reverse-Zone '''113.88.10.in-addr.arpa''' wird ebenfalls auf '''ns.it113.int''' verwaltet.
 +
- '''Ziel:''' DNSSEC-Signierung beider Zonen und Veröffentlichung der DS-Records in der Parent-Zone.
  
 
== Schlüssel für it113.int generieren (auf ns.it113.int) ==
 
== Schlüssel für it113.int generieren (auf ns.it113.int) ==
* '''dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE it113.int'''
+
'''ZSK erzeugen'''
* '''dnssec-keygen -a RSASHA256 -b 1024 -n ZONE it113.int'''
+
*dnssec-keygen -a RSASHA256 -b 2048 -n ZONE it113.int
 +
'''KSK erzeugen'''
 +
*dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE it113.int
  
== Schlüssel in die Zonendatei eintragen (auf ns.it113.int) ==
+
== Schlüssel für 113.88.10.in-addr.arpa generieren (auf ns.it113.int) ==
* '''cat K*.key >> /etc/bind/zones/it113.int.zone'''
+
'''ZSK erzeugen'''
 +
*dnssec-keygen -a RSASHA256 -b 2048 -n ZONE 113.88.10.in-addr.arpa
 +
'''KSK erzeugen'''
 +
*dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE 113.88.10.in-addr.arpa
  
== Zone signieren (auf ns.it113.int) ==
+
== Schlüssel in die Zonendateien eintragen (auf ns.it113.int) ==
* '''dnssec-signzone -A -N INCREMENT -o it113.int -t /etc/bind/zones/it113.int.zone'''
+
'''it113.int'''
 +
*cat K*.key >> /etc/bind/zones/it113.int.zone
  
Ergebnis: Die signierte Datei '''it113.int.zone.signed'''.
+
'''113.88.10.in-addr.arpa'''
 +
*cat K*.key >> /etc/bind/zones/113.88.10.in-addr.arpa.zone
  
== Bind konfigurieren, um die signierte Zone zu verwenden (auf ns.it113.int) ==
+
== Zonen signieren (auf ns.it113.int) ==
Zonendatei in ''/etc/bind/named.conf.local'' anpassen:
+
'''it113.int'''
 +
*dnssec-signzone -A -N INCREMENT -o it113.int -t /etc/bind/zones/it113.int.zone
 +
 
 +
'''113.88.10.in-addr.arpa'''
 +
*dnssec-signzone -A -N INCREMENT -o 113.88.10.in-addr.arpa -t /etc/bind/zones/113.88.10.in-addr.arpa.zone
 +
 
 +
== Bind konfigurieren, um die signierten Zonen zu verwenden (auf ns.it113.int) ==
 +
In der Datei '''/etc/bind/named.conf.local''':
 
<pre>
 
<pre>
 
zone "it113.int" {
 
zone "it113.int" {
 
     type master;
 
     type master;
 
     file "/etc/bind/zones/it113.int.zone.signed";
 
     file "/etc/bind/zones/it113.int.zone.signed";
     allow-transfer { any; };  
+
    allow-transfer { any; };
 +
    allow-query { any; };
 +
};
 +
 
 +
zone "113.88.10.in-addr.arpa" {
 +
    type master;
 +
    file "/etc/bind/zones/113.88.10.in-addr.arpa.zone.signed";
 +
     allow-transfer { any; };
 
     allow-query { any; };
 
     allow-query { any; };
 
};
 
};
Zeile 30: Zeile 52:
  
 
Neustart von BIND:
 
Neustart von BIND:
* '''systemctl restart bind9'''
+
*systemctl restart bind9
 
 
== DS-Records an die Toplevel-Domain übergeben (auf ns.it113.int) ==
 
* '''dig +short DS it113.int'''
 
 
 
Den ausgegebenen DS-Record in die Zonendatei von ''int.'' auf ''dnsgw.gw'' eintragen.
 
 
 
== DS-Records aller Second-Level-Zonen in die Toplevel-Domain eintragen ==
 
Falls mehrere Second-Level-Zonen mit DNSSEC signiert werden sollen, müssen alle **DS-Records** dieser Zonen in die **int**-Zone eingetragen werden. Das bedeutet:
 
* Falls du **alle 13 Second-Level-Zonen gleichzeitig signierst**, dann reicht **eine einzige Neusignierung** der **int**-Zone.
 
* Falls du die DS-Records **zu unterschiedlichen Zeiten aktualisierst**, muss die **int**-Zone nach jeder Änderung neu signiert werden.
 
 
 
In der Datei '''/etc/bind/zones/int.zone''':
 
<pre>
 
it113.int. IN DS 12345 8 2 49FD74D5C4A7AE7D15A57A15B22D...
 
it114.int. IN DS 67890 8 2 28A1F3D4C5E7B890A67B22A3D4F9...
 
...</pre>
 
  
== Warum muss die Toplevel-Zone neu signiert werden? ==
+
== DS-Records an die Parent-Zonen übergeben ==
Die **int**-Zone enthält die **DS-Records** für alle signierten Second-Level-Zonen. Sobald ein neuer **DS-Record** eingetragen oder geändert wird, muss die gesamte **int**-Zone neu signiert werden, damit die neuen Einträge verifiziert werden können.
+
'''it113.int'''
 +
*dig +short DS it113.int
 +
Den ausgegebenen DS-Record in die Parent-Zone '''int.''' auf '''dnsgw.gw''' eintragen.
  
== Wird die Toplevel-Zone bei jeder Änderung einer Second-Level-Zone neu signiert? ==
+
'''113.88.10.in-addr.arpa'''
Nein. Die **int**-Zone muss nur dann neu signiert werden, wenn sich ein **DS-Record** ändert, also z. B. ein neuer Key generiert wird. Andere Änderungen in ''it113.int'' oder anderen Second-Level-Zonen haben keine Auswirkungen auf die **int**-Zone**.
+
*dig +short DS 113.88.10.in-addr.arpa
 +
Den ausgegebenen DS-Record in die übergeordnete Zone '''88.10.in-addr.arpa''' auf '''dnsgw.gw''' eintragen.
  
 
== Toplevel-Zone neu signieren (auf dnsgw.gw) ==
 
== Toplevel-Zone neu signieren (auf dnsgw.gw) ==
* '''dnssec-signzone -A -N INCREMENT -o int -t /etc/bind/zones/int.zone'''
+
*dnssec-signzone -A -N INCREMENT -o int -t /etc/bind/zones/int.zone
 +
*dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t /etc/bind/zones/88.10.in-addr.arpa.zone
  
 
Neustart von BIND:
 
Neustart von BIND:
* '''systemctl restart bind9'''
+
*systemctl restart bind9
  
 
== Überprüfung (auf beliebigem Client) ==
 
== Überprüfung (auf beliebigem Client) ==
* '''dig +dnssec it113.int'''
+
'''it113.int'''
* '''dig +dnssec www.it113.int'''
+
*dig +dnssec it113.int
 +
*dig +dnssec www.it113.int
 +
 
 +
'''113.88.10.in-addr.arpa'''
 +
*dig +dnssec 113.88.10.in-addr.arpa
  
 
Falls alles korrekt ist, sollte das '''AD-Bit''' (Authentic Data) gesetzt sein.
 
Falls alles korrekt ist, sollte das '''AD-Bit''' (Authentic Data) gesetzt sein.

Version vom 13. März 2025, 16:39 Uhr

DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa

Übersicht

- Die Toplevel-Domain int. ist bereits mit DNSSEC signiert und läuft auf dnsgw.gw. - Die Second-Level-Zone it113.int wird auf ns.it113.int gehostet. - Die Reverse-Zone 113.88.10.in-addr.arpa wird ebenfalls auf ns.it113.int verwaltet. - Ziel: DNSSEC-Signierung beider Zonen und Veröffentlichung der DS-Records in der Parent-Zone.

Schlüssel für it113.int generieren (auf ns.it113.int)

ZSK erzeugen

  • dnssec-keygen -a RSASHA256 -b 2048 -n ZONE it113.int

KSK erzeugen

  • dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE it113.int

Schlüssel für 113.88.10.in-addr.arpa generieren (auf ns.it113.int)

ZSK erzeugen

  • dnssec-keygen -a RSASHA256 -b 2048 -n ZONE 113.88.10.in-addr.arpa

KSK erzeugen

  • dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE 113.88.10.in-addr.arpa

Schlüssel in die Zonendateien eintragen (auf ns.it113.int)

it113.int

  • cat K*.key >> /etc/bind/zones/it113.int.zone

113.88.10.in-addr.arpa

  • cat K*.key >> /etc/bind/zones/113.88.10.in-addr.arpa.zone

Zonen signieren (auf ns.it113.int)

it113.int

  • dnssec-signzone -A -N INCREMENT -o it113.int -t /etc/bind/zones/it113.int.zone

113.88.10.in-addr.arpa

  • dnssec-signzone -A -N INCREMENT -o 113.88.10.in-addr.arpa -t /etc/bind/zones/113.88.10.in-addr.arpa.zone

Bind konfigurieren, um die signierten Zonen zu verwenden (auf ns.it113.int)

In der Datei /etc/bind/named.conf.local: 

zone "it113.int" {
    type master;
    file "/etc/bind/zones/it113.int.zone.signed";
    allow-transfer { any; };
    allow-query { any; };
};

zone "113.88.10.in-addr.arpa" {
    type master;
    file "/etc/bind/zones/113.88.10.in-addr.arpa.zone.signed";
    allow-transfer { any; };
    allow-query { any; };
};

Neustart von BIND:

  • systemctl restart bind9

DS-Records an die Parent-Zonen übergeben

it113.int

  • dig +short DS it113.int

Den ausgegebenen DS-Record in die Parent-Zone int. auf dnsgw.gw eintragen.

113.88.10.in-addr.arpa

  • dig +short DS 113.88.10.in-addr.arpa

Den ausgegebenen DS-Record in die übergeordnete Zone 88.10.in-addr.arpa auf dnsgw.gw eintragen.

Toplevel-Zone neu signieren (auf dnsgw.gw)

  • dnssec-signzone -A -N INCREMENT -o int -t /etc/bind/zones/int.zone
  • dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t /etc/bind/zones/88.10.in-addr.arpa.zone

Neustart von BIND:

  • systemctl restart bind9

Überprüfung (auf beliebigem Client)

it113.int

  • dig +dnssec it113.int
  • dig +dnssec www.it113.int

113.88.10.in-addr.arpa

  • dig +dnssec 113.88.10.in-addr.arpa

Falls alles korrekt ist, sollte das AD-Bit (Authentic Data) gesetzt sein.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Pseudo_second_level_domain_DNSSEC&oldid=59716