Přeskočit na hlavní obsah

Příspěvky

Zobrazují se příspěvky z května 1, 2011

DNSSEC autoritativní server prakticky

Na úvod několik odkazů na DNSSEC analyzátory:
VerisignLabs: http://dnssec-debugger.verisignlabs.comSandia National Laboratories: http://dnsviz.net. Nejlépe funguje ve Firefoxu. V Bindu je potřeba zapnout podporu DNSSEC. K tomu stačí do named.conf napsat dnssec-enable yes. Pokud máte více domén, tak je vhodné zonový soubor umístit do samostatného adresáře. Při vytváření klíčů a podepisování vznikne hodně souborů.
Nyní už k samostatným postupům podepisování a výměny klíčů.
Podepsání domény: Vytvořit KSK pomocí příkazu: dnssec-keygen -r /dev/urandom -a RSASHA512 -b 2048 -3 -n ZONE -f KSK domena.czVytvořit ZSK pomocí příkazu:  dnssec-keygen -r /dev/urandom -a RSASHA512 -b 1024 -3 -n ZONE domena.czPodepsat a publikovat zónu - to uděláme například pomocí tohoto skriptu:  cd /var/named/domena.cz
nahoda=$(cat /dev/urandom | tr -cd 'a-f0-9' | head -c 32)
echo -e "\n\nPodepisuji doménu domena.cz"
dnssec-signzone -S -N unixtime -3 $nahoda domena.cz
rndc reload domena.cz 
Počkat na …