Ich muss sagen ich bin beeindruckt: mit Bind 9.8.1-P1 ist es jetzt noch einfacher geworden eine mit DNSSEC signierte Zone einzurichten.
Schlüssel erzeugen
Hierzu befinde ich mich für das Beispiel in /etc/bind/master/keys.
dnssec-keygen -f KSK example.com
dnssec-keygen example.comFalls dieser Vorgang sehr lange dauert, weil man auf einer virtuellen Maschine unterwegs ist, kann man das ganze unter Ausnutzung von /dev/urandom (unter den üblichen kryptographischen Vorbehalten) beschleunigen:
dnssec-keygen -r /dev/urandom -f KSK example.com
dnssec-keygen -r /dev/urandom example.comDie Zone in Bind für DNSSEC konfigurieren
Jetzt fehlt nur noch die Konfiguration für die Zone:
zone "example.com" {
auto-dnssec maintain;
type master;
update-policy local;
file "/etc/bind/master/example.com";
key-directory "/etc/bind/master/keys";
};Bind reload und fertig. 🙂
Mit den Zonen-Updates bin ich hier aber noch nicht ganz warm geworden. Dazu und hoffentlich auch zu den Key-Rollovern bald mehr. Bin dahin empfehle ich zur weiteren Lektüre: ISC: DNSSEC and Bind.
Artikel Updates
- In der ersten Version den Artikels habe ich die KSK-Generierung nicht mit hin geschrieben.
- Das ganze kann man auch nochmal hier nachlesen: Tony Finch – DNSSEC with BIND 9.8.0