Debian/DNSSEC

　bindにDNSSECを設定して、DNSの検証が出来るようにする。

前提条件
bindの設定
レジストラの設定
確認
参考サイト

前提条件 †

　DNSSECは、レジストラが対応している必要がある。
　ここでは、バリュードメインで確認した。

bindの設定 †

KSKとZSKを作成

$ root@uranus:~# dnssec-keygen -f KSK -a RSASHA256 -b 4096 -r /dev/urandom -n zone example.jp
Generating key pair....................................................++...................++
Kexample.jp.+008+44209
$ dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 -n zone example.jp
Generating key pair........++++++ .....................................++++++
Kexample.jp.+008+08748

zoneファイルの更新
　キーファイルをbindのデータディレクトリにコピーして、インクルード設定を追加し、シリアルを更新。

# cp -p Kexample.jp.*.key /var/cache/bind/
# chown bind. /var/cache/bind/*.key
# echo '$INCLUDE "Kexample.jp.+008+44209.key"' >> /var/cache/bind/example.zone
# echo '$INCLUDE "Kexample.jp.+008+08748.key"' >> /var/cache/bind/example.zone
# vi /var/cache/bind/example.zone

署名

# dnssec-signzone -o example.jp /var/cache/bind/example.zone
Verifying the zone using the following algorithms: RSASHA256.
Zone signing complete:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
                      ZSKs: 1 active, 0 stand-by, 0 revoked
/var/cache/bind/example.zone.signed

　カレントディレクトリに"dsset-example.jp."ファイルが出来る。

署名付きのゾーンファイルに差し替える
　zoneの設定で、署名付きのゾーンファイルを使うように変更する。
- /etc/bind/named.conf.local (変更)
```
//      file "example.zone";
        file "example.zone.signed";
```
bindの再起動

↑

レジストラの設定 †

$ cat dsset-example.jp.
example.jp.        IN DS 44209 8 1 xxxxxxxxxxxxxxx
example.jp.        IN DS 44209 8 2 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

　DSより後ろの「44209 8 ～」の部分(2つ)を、レジストラのDNSSECに設定する。

↑

確認 †

　DNS情報が反映されるまで待ち、以下のコマンドで"flags:"に"ad"が表示されていれば成功。

$ dig +dnssec www.example.jp

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +dnssec www.example.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2986
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 9
(以下略)

↑

最新の10件

前提条件 †

bindの設定 †

レジストラの設定 †

確認 †

参考サイト †