Die Zonenfestlegung

• cat /etc/bind/named.conf.local

zone "int" {
    type master;
    forwarders {};
     file "int.signed";
}; 

zone "88.10.in-addr.arpa" {
    type master;
    forwarders {};
    file "88.10.in-addr.arpa";
};

DNSSEC Schlüssel erzeugen

Für die Zone int

• cd /var/cache/bind
• dnssec-keygen -a ECDSAP256SHA256 -n ZONE int
• dnssec-keygen -a ECDSAP256SHA256 -f KSK -n ZONE int

DNSKEY in die Zonen einbinden

int

• for k in Kint*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/int; done

Zonen signieren

• dnssec-signzone -A -N INCREMENT -o int -t /var/cache/bind/int

Erzeugt

/var/cache/bind/int.signed

Dienst neu starten

• systemctl restart bind9

Überprüfung

• dig @127.0.0.1 int DNSKEY +dnssec

DNSKEY und RRSIG Einträge müssen sichtbar sein

Trust-Anker auf einem validierenden Resolver

KSK ermitteln

• dig DNSKEY int @127.0.0.1 +short

Nur der Key mit Flags 257 (KSK) wird verwendet

Auf dem Resolver eintragen

• cat trust-anchors.conf

 managed-keys {
 #Example
 int. initial-key  257 3 13 "mESVbGog5J8ELV3nr+N7+kER2EH9kNDCQNJpgx4vqdVsa2WA6y9FD0WP l1WGzcHhAOQ8tTUrX53BRGxxBKl+3A==";
};

Auf die Resover kopieren und dort so inkuludieren:

• cat /etc/bind/named.conf

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/trust-anchors.conf";

• systemctl restart named

Ergebnis

• Der Fake Root .int ist signiert
• Delegationen funktionieren wie zuvor
• DNSSEC beginnt beim Resolver durch expliziten Trust-Anker