DNS
Stand: ausprobiert aber noch kein umfassendes Verständnis erreicht
Links: DNSSEC in 6 minutes
options {
dnssec-enable yes;
};
/opt/bind-9.9.1/sbin/dnssec-keygen -a RSASHA1 -b 1024 -n ZONE intern /opt/bind-9.9.1/sbin/dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -f KSK intern
mit -f KSK kann man das KSK-Flag setzen lassen. (siehe oben)
Erfahrung: /dev/random wird gelesen. Da muß sehr viel Entropie (hier: Zufälligkeit) gesammelt werden, und daher kann das Schlüsselgenerieren gerade auf Servern sehr viel Zeit in Anspruch nehmen. Daher sollte man es auf einem Desktop tun - auf einem Linux-Client mit X-Windows, inbesondere mausbewegungen scheinen die "Entropie" zu erhöhen
Der KSK ist grösser und in der Key-datei steht drin, welcher Key für welchen Zweck gedacht ist.
Der Schlüssel muß der Zone hinzugefügt werden:
$INCLUDE Kintern.+005+02127.key $INCLUDE Kintern.+005+18196.key
Die Signierung erfolgt so:
/opt/bind-9.9.1/sbin/dnssec-signzone -o intern intern-fwd.db
es wird ein intern-fwd.db.signed erzeugt. Dieses muss anstelle des der intern-fwd.db in etc/named.conf eingetragen werden.
Es wird für jeden Eintrag einen RRSIG Eintrag erzeugt ...
mit dig kann man auch die einzelnen Records abfragen:
dig intern. DNSKEY
Übliche Abfragen sollen zusätzliche Sicherheit bieten:
dig +dnssec jolkipalki.intern A
in ;; flags: qr rd ra ad