Основная конфигурация DNSSEC под BIND 9.7?

Самый простой способ включить DNSSEC с BIND - это автоматическая подпись. Ниже приводится пошаговое руководство:

Предварительные требования: Я предполагаю, что ваш файл зоны - /var/lib/bind/example.net/db . Файл зоны и папка должны быть доступными для записи для процесса связывания! Возможно, вам потребуется настроить разрешения и / или отредактировать ваш /etc/apparmor.d/usr.sbin. named .

Шаг 1. Сгенерируйте ключи DNSSEC:

dnssec-keygen -K / var / lib / bind / example.net example.net

-K определяет папку вывода для вновь сгенерированных ключей, второй параметр - это имя зоны. Выполнение этой команды может занять очень много времени, потому что она будет ждать, пока в вашей системе будет достаточно энтропии. Если все, что вам нужно, - это попробовать конфигурацию, и вы не генерируете ключи для производственной системы, вы можете добавить -r / dev / urandom - он быстро сгенерирует небезопасные ключи. Также обратите внимание, что если вы запустите эту команду несколько раз, каждый раз будет генерироваться новый набор ключей, и все наборы будут использоваться для подписи вашей зоны.

Шаг 2: Настройте BIND для включения автоматической подписи для вашей зоны:

zone example.net {
    type master;
    file "/var/lib/bind/example.net/db";        
    auto-dnssec maintain;
//Enable The Magic
    key-directory "/var/lib/bind/example.net";
//Look for DNSSEC keys in "/etc/bind/example.net" folder
    update-policy local;
//Enable dynamic updates (required for auto-dnssec)
};

auto-dnssec keep сообщает bind для периодического поиска в папке, указанной в key-directory , новых ключей DNSSEC, добавьте эти ключи в зону и подпишите зону. Все автоматически, без вашего участия. Сама поддержка Core DNSSEC уже включена по умолчанию. Ваш named.conf может состоять только из этого раздела зоны.

Шаг 3: Перезагрузить привязку

rndc reload Загрузит новую конфигурацию, а привязка загрузит ваши ключи DNSSEC и подпишет зону.

Готово . Убедитесь, что он работает с dig + dnssec @localhost example.net DNSKEY . Вы должны получить записи DNSKEY и RRSIG.

Безопасное делегирование

Если вы добавляете DNNSEC в реальный домен, чтобы полностью включить проверку DNNSEC, вам необходимо добавить записи DS в родительскую зону - это делается так же, как и NS записей - через регистратора вашего домена.

Чтобы убедиться, что все работает, вы можете использовать онлайн-инструменты, такие как dnsviz.net и dnssec-debugger.verisignlabs.com

ДОПОЛНЕНИЕ:

Некоторые могут спросить: а как насчет ZSK и KSK? - Этот процесс подпишет всю зону одним ZSK, здесь нет KSK. Что я пытался сделать, так это предоставить простейшее из возможных «руководство», которое привело бы к хорошо работающему DNSSEC. Я не стал раскрывать все возможные детали. И там' s нет необходимость для любого , чтобы заботиться обо всех возможных деталях. ИМХО.