Dnssec Praxis

Aus Xinux Wiki
Version vom 3. März 2025, 16:50 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „==== Aktivierung von DNSSEC für die Zone 88.10.in-addr.arpa ==== Um DNSSEC für die Reverse-Zone '''88.10.in-addr.arpa''' unter BIND zu aktivieren, sind folg…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Aktivierung von DNSSEC für die Zone 88.10.in-addr.arpa

Um DNSSEC für die Reverse-Zone 88.10.in-addr.arpa unter BIND zu aktivieren, sind folgende Schritte notwendig.

Voraussetzungen

  • Der BIND-Server muss mit DNSSEC-Unterstützung kompiliert sein.
  • Die benötigten Werkzeuge wie dnssec-keygen und dnssec-signzone müssen vorhanden sein.

Schlüsselerzeugung

Zunächst werden ein Key Signing Key (KSK) und ein Zone Signing Key (ZSK) erzeugt.

Erzeugen des KSK 

dnssec-keygen -a RSASHA256 -b 2048 -f KSK -r /dev/urandom 88.10.in-addr.arpa

Erzeugen des ZSK 

dnssec-keygen -a RSASHA256 -b 1024 -r /dev/urandom 88.10.in-addr.arpa

Dies generiert mehrere Dateien, darunter die öffentlichen Schlüssel K88.10.in-addr.arpa.+008+xxxxx.key und die privaten Schlüssel K88.10.in-addr.arpa.+008+xxxxx.private.

Schlüssel in die Zone einfügen

Die öffentlichen Schlüssel müssen in die Zonendatei 88.10.in-addr.arpa eingefügt werden. 

cat K88.10.in-addr.arpa.+008+*.key >> /var/cache/bind/88.10.in-addr.arpa

Signieren der Zone

Nun wird die Zone signiert: 

dnssec-signzone -A -o 88.10.in-addr.arpa -t /var/cache/bind/88.10.in-addr.arpa

Dabei wird eine neue signierte Datei 88.10.in-addr.arpa.signed erzeugt.

Konfiguration von BIND

Die Konfigurationsdatei named.conf muss angepasst werden, damit BIND die signierte Zonendatei nutzt: 

zone "88.10.in-addr.arpa" {
    type master;
    file "/var/cache/bind/88.10.in-addr.arpa.signed";
    allow-query { any; };
};

Neustart von BIND

Nach den Änderungen muss BIND neu gestartet werden: 

systemctl restart bind9

Eintragen des DS-Records

Der DS-Record für die übergeordnete Zone wird extrahiert: 

dnssec-dsfromkey -f K88.10.in-addr.arpa.+008+xxxxx.key 88.10.in-addr.arpa

Falls die Zone delegiert ist, muss dieser DS-Record an die zuständige übergeordnete Instanz weitergegeben werden.

Überprüfung von DNSSEC

Die Konfiguration kann mit folgendem Befehl überprüft werden: 

dig +dnssec @127.0.0.1 88.10.in-addr.arpa SOA

Falls die Signatur gültig ist, sollte ein RRSIG-Eintrag in der Ausgabe erscheinen.

Damit ist DNSSEC für die Zone 88.10.in-addr.arpa erfolgreich eingerichtet.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Praxis&oldid=59226