DNSSEC podepisování domén snadno s BIND inline signing
Technologie DNSSEC je tady s námi už nějakou řádku let. Jak snadno ji lze uvést v život na Vašem DNS serveru si ukážeme níže. Jelikož CZ.NIC umi automaticky vytvářet key sety podle záznamu CDNSKEY. Stačí jen vygenerovat klíče a přiřadit je k doménam. Vše ostatní se již stane automaticky.
Vygenerování klíčů:
Vytvoříme si složku keys v adresáři kde má bind konfigurace /etc/namedb/keys. Oprávnění nastavíme tak aby se zde bind dostal.
V této složce pak můžeme vygenerovat klíč pro naší doménu:
dnssec-keygen -a ECDSAP256SHA256 -fK standel.cz
Generating key pair.
Kstandel.cz.+013+51238
Aktivace podepisování pro zónu:
Upravíme konfiguraci pro danou zónu
zone "standel.cz" {
type master;
notify yes;
inline-signing yes;
auto-dnssec maintain;
key-directory "/etc/namedb/keys";
file "/etc/namedb/master/standel.cz";
}
Po reloadu rndc reload již uvidíme, že se zóna podepisuje.
rndc signing -list standel.cz
Done signing with key 51238/ECDSAP256SHA256
Ve výchozím nastavení se podepisuje v režimu NSEC. My však budeme chtít přejít na NSEC3 kdy jsou záznam y hashovany.
rndc signing -nsec3param 1 0 10 feca7799 standel.cz
Parametry jsou 1 hash algoritmus SHA256 , 0 žádné flagy , 10 počet iterací, sůl v hexa může být až 255 bytů.
Aktivace klíče:
Pro vytvoření CDNSKEY záznamu aktivujeme ještě klíč
dnssec-settime -Psync now Kstandel.cz.+013+51238
rndc sign standel.cz
Dejte si pozor aby mohl bind přečíst privátní klíč.
Pokud musíte DS záznam zadávat ručně u svého registrátora můžete si jej vypsat:
dnssec-dsfromkey Kstandel.cz.+013+51238
Výmena KSK klíče:
Vygenerujeme nový klíč a starému nastavíme zneplatnění a vyřazení za 35 dnů.
dnssec-keygen -a ECDSAP256SHA256 -fK standel.cz
Generating key pair.
Kstandel.cz.+013+22795
dnssec-settime -I now -D +35d Kstandel.cz.+013+51238
rndc sign standel.cz
Přes rndc signing -list standel.cz zkontrolujeme, že je doména aktuálně podepsána oběma klíči.