Pseudo second level domain DNSSEC: Unterschied zwischen den Versionen
| Zeile 20: | Zeile 20: | ||
'''it113.int''' | '''it113.int''' | ||
*echo "\$INCLUDE /var/cache/bind/$KSK_IT.key" >> /var/cache/bind/it113.int | *echo "\$INCLUDE /var/cache/bind/$KSK_IT.key" >> /var/cache/bind/it113.int | ||
| − | *echo "\$ | + | *echo "\$INCLUDE /var/cache/bind/$ZSK_IT.key" >> /var/cache/bind/it113.int |
'''113.88.10.in-addr.arpa''' | '''113.88.10.in-addr.arpa''' | ||
Version vom 13. März 2025, 19:06 Uhr
DNSSEC für die Second-Level-Zone it113.int und 113.88.10.in-addr.arpa
Übersicht
- Die Toplevel-Domain int. ist bereits mit DNSSEC signiert und läuft auf dnsgw.gw. - Die Second-Level-Zone it113.int wird auf ns.it113.int gehostet. - Die Reverse-Zone 113.88.10.in-addr.arpa wird ebenfalls auf ns.it113.int verwaltet. - Ziel: DNSSEC-Signierung beider Zonen und Veröffentlichung der DS-Records in der Parent-Zone.
Schlüssel für it113.int generieren (auf ns.it113.int)
ZSK erzeugen
- KSK_IT=$(dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE -K /var/cache/bind it113.int)
- ZSK_IT=$(dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K /var/cache/bind it113.int)
Schlüssel für 113.88.10.in-addr.arpa generieren (auf ns.it113.int)
ZSK erzeugen
- KSK_REV=$(dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE -K /var/cache/bind 113.88.10.in-addr.arpa)
- ZSK_REV=$(dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -K /var/cache/bind 113.88.10.in-addr.arpa)
Schlüssel in die Zonendateien eintragen (auf ns.it113.int)
it113.int
- echo "\$INCLUDE /var/cache/bind/$KSK_IT.key" >> /var/cache/bind/it113.int
- echo "\$INCLUDE /var/cache/bind/$ZSK_IT.key" >> /var/cache/bind/it113.int
113.88.10.in-addr.arpa
- echo "\$INCLUDE /var/cache/bind/$KSK_REV.key" >> /var/cache/bind/113.88.10.in-addr.arpa
- echo "\$INCLUDE /var/cache/bind/$ZSK_REV.key" >> /var/cache/bind/113.88.10.in-addr.arpa
Zonen signieren (auf ns.it113.int)
it113.int
- dnssec-signzone -A -N INCREMENT -o it113.int -t /var/cache/bind/it113.int
113.88.10.in-addr.arpa
- dnssec-signzone -A -N INCREMENT -o 113.88.10.in-addr.arpa -t /var/cache/bind/113.88.10.in-addr.arpa
Bind konfigurieren, um die signierten Zonen zu verwenden (auf ns.it113.int)
In der Datei /etc/bind/named.conf.local:
zone "it113.int" {
type master;
file "/var/cache/bind/it113.int.signed";
allow-transfer { any; };
allow-query { any; };
};
zone "113.88.10.in-addr.arpa" {
type master;
file "/var/cache/bind/113.88.10.in-addr.arpa.signed";
allow-transfer { any; };
allow-query { any; };
};
Konfiguration übernehmen und testen
Bind9 neustarten und Zonenstatus prüfen
- systemctl restart bind9
- rndc reload
- rndc zonestatus it113.int
- rndc zonestatus 113.88.10.in-addr.arpa
DS-Records an die Parent-Zonen übergeben
it113.int
- dnssec-dsfromkey -2 /var/cache/bind/$KSK_IT113.key > /var/cache/bind/dsset-it113.int
- dig +short DS it113.int
Den ausgegebenen DS-Record in die Parent-Zone int. auf dnsgw.gw eintragen.
113.88.10.in-addr.arpa
- dnssec-dsfromkey -2 /var/cache/bind/$KSK_REV.key > /var/cache/bind/dsset-113.88.10.in-addr.arpa
- dig +short DS 113.88.10.in-addr.arpa
Den ausgegebenen DS-Record in die übergeordnete Zone 88.10.in-addr.arpa auf dnsgw.gw eintragen.
Toplevel-Zone neu signieren (auf dnsgw.gw)
- dnssec-signzone -A -N INCREMENT -o int -t /etc/bind/zones/int.zone
- dnssec-signzone -A -N INCREMENT -o 88.10.in-addr.arpa -t /etc/bind/zones/88.10.in-addr.arpa.zone
Neustart von BIND:
- systemctl restart bind9
Überprüfung (auf beliebigem Client)
it113.int
- dig +dnssec it113.int
- dig +dnssec www.it113.int
113.88.10.in-addr.arpa
- dig +dnssec 113.88.10.in-addr.arpa
Falls alles korrekt ist, sollte das AD-Bit (Authentic Data) gesetzt sein.