Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren
Seite 5: Zonen-Schlüssel erzeugen
Pro Zone braucht BIND einen Zone-Signing-Key (ZSK) und einen Key-Signing-Key (KSK), die üblicherweise unter /var/named/keys
liegen:
dnssec-keygen -a RSASHA256 -b 2048 -K— /var/named/keys -n ZONE example.org
dnssec-keygen -a RSASHA256 -b 2560 -f KSK -K— /var/named/keys -n ZONE example.org
chown bind:wheel K*.private
chmod u=r,go= K*.private
Mittels chown und chmod stellen Sie sicher, dass BIND die Dateien lesen darf. Abhängig von Ihrem Server-Betriebssystem müssen Sie eventuell als User named
anstatt bind
einsetzen.
Sobald die Schlüssel erzeugt sind, signiert BIND die Zone nach spätestens 60 Minuten. Wer nicht warten möchte, stößt das manuell mit rndc sign example.org
an. Danach sollte der Aufruf von dig @localhost dnskey example.org +dnssec +multi
zeigen, dass die DNSKEY-Records publiziert und Signaturen sowie RRSIG-Records vorhanden sind. Die längliche dig-Ausgabe ersparen wir Ihnen an dieser Stelle.
Um die Vertrauenskette zu vervollständigen, müssen Sie bei einer .de-Zone über Ihren DNS-Registrar (Domain-Dienstleister) den öffentlichen Teil des KSK an die Elternzone übermitteln. Bei anderen Zonen nehmen Sie den Delegation-Signer-Record (DS).
Der öffentliche KSK mit der Endung .key liegt im Ordner /var/named/keys
; sein Gegenstück mit der Endung .private bleibt unangetastet. Den DS-Record erstellen Sie aus dem öffentlichen Key-Signing-Key mit:
dnssec-dsfromkey /var/named/keys/Kexample.org.+008.+40924.key >dsset-example.org
Sobald der Registrar Ihren öffentlichen KSK oder den DS-Record in der Elternzone publiziert hat, ist die Vertrauenskette komplett und eine DNS-Abfrage mittels eines DNSSEC-Resolvers zeigt das AD-Flag. Damit sind die Arbeiten auf der Server-Seite für DANE und DNSSEC abgeschlossen. (dz)