Самый простой способ включить DNSSEC с BIND - это автоматическая подпись. Ниже приводится пошаговое руководство:
Предварительные требования:
Я предполагаю, что ваш файл зоны - /var/lib/bind/example.net/db
. Файл зоны и папка должны быть доступными для записи для процесса связывания! Возможно, вам потребуется настроить разрешения и / или отредактировать ваш /etc/apparmor.d/usr.sbin. named
.
Шаг 1. Сгенерируйте ключи DNSSEC:
dnssec-keygen -K / var / lib / bind / example.net example.net
-K определяет папку вывода для вновь сгенерированных ключей, второй параметр - это имя зоны. Выполнение этой команды может занять очень много времени, потому что она будет ждать, пока в вашей системе будет достаточно энтропии. Если все, что вам нужно, - это попробовать конфигурацию, и вы не генерируете ключи для производственной системы, вы можете добавить -r / dev / urandom
- он быстро сгенерирует небезопасные ключи. Также обратите внимание, что если вы запустите эту команду несколько раз, каждый раз будет генерироваться новый набор ключей, и все наборы будут использоваться для подписи вашей зоны.
Шаг 2: Настройте BIND для включения автоматической подписи для вашей зоны:
zone example.net {
type master;
file "/var/lib/bind/example.net/db";
auto-dnssec maintain;
//Enable The Magic
key-directory "/var/lib/bind/example.net";
//Look for DNSSEC keys in "/etc/bind/example.net" folder
update-policy local;
//Enable dynamic updates (required for auto-dnssec)
};
auto-dnssec keep
сообщает bind для периодического поиска в папке, указанной в key-directory
, новых ключей DNSSEC, добавьте эти ключи в зону и подпишите зону. Все автоматически, без вашего участия.
Сама поддержка Core DNSSEC уже включена по умолчанию. Ваш named.conf может состоять только из этого раздела зоны.
Шаг 3: Перезагрузить привязку
rndc reload
Загрузит новую конфигурацию, а привязка загрузит ваши ключи DNSSEC и подпишет зону.
Готово .
Убедитесь, что он работает с dig + dnssec @localhost example.net DNSKEY
. Вы должны получить записи DNSKEY и RRSIG.
Безопасное делегирование
Если вы добавляете DNNSEC в реальный домен, чтобы полностью включить проверку DNNSEC, вам необходимо добавить записи DS в родительскую зону - это делается так же, как и NS записей - через регистратора вашего домена.
Чтобы убедиться, что все работает, вы можете использовать онлайн-инструменты, такие как dnsviz.net и dnssec-debugger.verisignlabs.com
ДОПОЛНЕНИЕ:
Некоторые могут спросить: а как насчет ZSK и KSK? - Этот процесс подпишет всю зону одним ZSK, здесь нет KSK. Что я пытался сделать, так это предоставить простейшее из возможных «руководство», которое привело бы к хорошо работающему DNSSEC. Я не стал раскрывать все возможные детали. И там' s нет необходимость для любого , чтобы заботиться обо всех возможных деталях. ИМХО.