Seite 5: Zonen-Schlüssel erzeugen

Inhaltsverzeichnis

Pro Zone braucht BIND einen Zone-Signing-Key (ZSK) und einen Key-Signing-Key (KSK), die üblicherweise unter /var/named/keys liegen:

dnssec-keygen -a RSASHA256 -b 2048 -K— /var/named/keys -n ZONE example.org
dnssec-keygen -a RSASHA256 -b 2560 -f KSK -K— /var/named/keys -n ZONE example.org
chown bind:wheel K*.private
chmod u=r,go= K*.private

Mittels chown und chmod stellen Sie sicher, dass BIND die Dateien lesen darf. Abhängig von Ihrem Server-Betriebssystem müssen Sie eventuell als User named anstatt bind einsetzen.

Sobald die Schlüssel erzeugt sind, signiert BIND die Zone nach spätestens 60 Minuten. Wer nicht warten möchte, stößt das manuell mit rndc sign example.org an. Danach sollte der Aufruf von dig @localhost dnskey example.org +dnssec +multi zeigen, dass die DNSKEY-Records publiziert und Signaturen sowie RRSIG-Records vorhanden sind. Die längliche dig-Ausgabe ersparen wir Ihnen an dieser Stelle.

Um die Vertrauenskette zu vervollständigen, müssen Sie bei einer .de-Zone über Ihren DNS-Registrar (Domain-Dienstleister) den öffentlichen Teil des KSK an die Elternzone übermitteln. Bei anderen Zonen nehmen Sie den Delegation-Signer-Record (DS).

Der öffentliche KSK mit der Endung .key liegt im Ordner /var/named/keys; sein Gegenstück mit der Endung .private bleibt unangetastet. Den DS-Record erstellen Sie aus dem öffentlichen Key-Signing-Key mit:

dnssec-dsfromkey /var/named/keys/Kexample.org.+008.+40924.key >dsset-example.org

Sobald der Registrar Ihren öffentlichen KSK oder den DS-Record in der Elternzone publiziert hat, ist die Vertrauenskette komplett und eine DNS-Abfrage mittels eines DNSSEC-Resolvers zeigt das AD-Flag. Damit sind die Arbeiten auf der Server-Seite für DANE und DNSSEC abgeschlossen. (dz)