[Public] DNS(SEC) 101
Ralf Jung
post at ralfj.de
Mi Sep 24 22:33:19 CEST 2014
Hi,
hier noch ein paar Links - für mehr DNSSEC für die Welt :D
dnssec-trigger: Solltet ihr alle mal ausprobieren
<https://www.nlnetlabs.nl/projects/dnssec-trigger/>
Browser-Plugin für TLSA-Validierung:
<https://www.dnssec-validator.cz/>
Im Anhang findet ihr meine Notizen für DNSSEC mit BIND... da gibt's
einen kompletten c't-Artikel zu. kA ob man den irgendwo online findet.
Die Frage ist nun: Wer macht als nächstes? :D
Viele Grüße,
Ralf
-------------- nächster Teil --------------
# Braucht Bind 9.9
# Globale options
key-directory "/var/lib/named/keys"
dnssec-enable yes;
# In der Zone (für statische Zonen)
auto-dnssec maintain;
inline-signing yes;
# Schlüssel erstellen
cd /var/lib/named/keys
dnssec-keygen -a RSASHA256 -b 2048 -K /var/lib/named/keys -n ZONE ralfj.de
dnssec-keygen -a RSASHA256 -b 2560 -f KSK -K /var/lib/named/keys -n ZONE ralfj.de
chown bind:root *
chmod u=r,go= K*.private
# NSEC3 konfigurieren, signieren anstoßen
rndc signing -nsec3param 1 0 128 D5A7183B ralfj.de
rndc sign ralfj.de
# komplette Zone ausgeben
cd /var/lib/named
named-compilezone -D -f raw -o - ralfj.de db.ralfj.de.signed
# DS-record für Elternzone
dnssec-dsfromkey <KSK-key>
Mehr Informationen über die Mailingliste Public