Pseudo second level domain DNSSEC: Unterschied zwischen den Versionen
| Zeile 1: | Zeile 1: | ||
| − | = DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa | + | == DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa == |
| − | |||
| − | |||
- Die Toplevel-Domain '''int.''' ist bereits mit '''DNSSEC signiert''' und läuft auf '''dnsgw.gw'''. | - Die Toplevel-Domain '''int.''' ist bereits mit '''DNSSEC signiert''' und läuft auf '''dnsgw.gw'''. | ||
- Die Second-Level-Zone '''it113.int''' wird auf '''ns.it113.int''' gehostet. | - Die Second-Level-Zone '''it113.int''' wird auf '''ns.it113.int''' gehostet. | ||
Version vom 13. März 2025, 18:00 Uhr
DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa
- Die Toplevel-Domain int. ist bereits mit DNSSEC signiert und läuft auf dnsgw.gw. - Die Second-Level-Zone it113.int wird auf ns.it113.int gehostet. - Die Reverse-Zone 113.88.10.in-addr.arpa wird ebenfalls auf ns.it113.int verwaltet. - Ziel: DNSSEC-Signierung beider Zonen und Veröffentlichung der DS-Records in der Parent-Zone.
Schlüssel für it113.int generieren (auf ns.it113.int)
ZSK erzeugen
- dnssec-keygen -a RSASHA256 -b 2048 -n ZONE it113.int
KSK erzeugen
- dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE it113.int
Schlüssel für 113.88.10.in-addr.arpa generieren (auf ns.it113.int)
ZSK erzeugen
- dnssec-keygen -a RSASHA256 -b 2048 -n ZONE 113.88.10.in-addr.arpa
KSK erzeugen
- dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE 113.88.10.in-addr.arpa
Schlüssel in die Zonendateien eintragen (auf ns.it113.int)
it113.int
- for k in Kit*.key ; do echo "$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/it113.int; done
113.88.10.in-addr.arpa
- for k in K113*.key ; do echo "$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/113.88.10.in-addr.arpa; done
Zonen signieren (auf ns.it113.int)
it113.int
- dnssec-signzone -A -N INCREMENT -o it113.int -t /var/cache/bind/it113.int
113.88.10.in-addr.arpa
- dnssec-signzone -A -N INCREMENT -o 113.88.10.in-addr.arpa -t /var/cache/bind/113.88.10.in-addr.arpa
Bind konfigurieren, um die signierten Zonen zu verwenden (auf ns.it113.int)
In der Datei /etc/bind/named.conf.local:
zone "it113.int" {
type master;
file "/var/cache/bind/it113.int.signed";
allow-transfer { any; };
allow-query { any; };
};
zone "113.88.10.in-addr.arpa" {
type master;
file "/var/cache/bind/113.88.10.in-addr.arpa.signed";
allow-transfer { any; };
allow-query { any; };
};
Konfiguration übernehmen und testen
Bind9 neustarten und Zonenstatus prüfen
- systemctl restart bind9
- rndc reload
- rndc zonestatus it113.int
- rndc zonestatus 113.88.10.in-addr.arpa
DS-Records an die Parent-Zonen übergeben
it113.int
- dnssec-dsfromkey -2 -f /var/cache/bind/Kit113.int.+*.key it113.int > /var/cache/bind/dsset-it113.int
- dig +short DS it113.int
Den ausgegebenen DS-Record in die Parent-Zone int. auf dnsgw.gw eintragen.
113.88.10.in-addr.arpa
- dnssec-dsfromkey -2 -f /var/cache/bind/K113.88.10.in-addr.arpa.+*.key 113.88.10.in-addr.arpa > /var/cache/bind/dsset-113.88.10.in-addr.arpa
- dig +short DS 113.88.10.in-addr.arpa
Den ausgegebenen DS-Record in die übergeordnete Zone 88.10.in-addr.arpa auf dnsgw.gw eintragen.
Toplevel-Zone neu signieren (auf dnsgw.gw)
- dnssec-signzone -A -N INCREMENT -o int -t /etc/bind/zones/int.zone
- dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t /etc/bind/zones/88.10.in-addr.arpa.zone
Neustart von BIND:
- systemctl restart bind9
Überprüfung (auf beliebigem Client)
it113.int
- dig +dnssec it113.int
- dig +dnssec www.it113.int
113.88.10.in-addr.arpa
- dig +dnssec 113.88.10.in-addr.arpa
Falls alles korrekt ist, sollte das AD-Bit (Authentic Data) gesetzt sein.