bind9

• DNSSEC signing
• DNS Keys for dnsupdate

DNSSEC signing

cd /etc/bind
# ZSK erstellen
dnssec-keygen -a ECDSAP256SHA256 -e -n ZONE example1.com
# KSK erstellen
dnssec-keygen -a ECDSAP256SHA256 -e -n ZONE -f KSK example1.com

dies erstellt je 2 schluessel (public/private), also insgesamt 4 key’s z.b.
Kexample1.com.+005+61648 ==> ZSK
Kexample1.com.+005+22804 ==> KSK
wenn man vergessen hat, welcher key der KSK- bzw. der ZSK-key ist,
ist das nicht weiter schlimm…
wenn man in die publik key’s rein schaut findet man etwas wie:

DNSKEY 256

dies ist der ZSK, oder:

DNSKEY 257

dann ist es der KSK

nun packen wir den inhalt der .key dateien in unser zonen-file:

cat Kexample1.com*.key >> /var/cache/bind/example1.com.hosts

nun signieren wir unser zonen-file:

dnssec-signzone -s now+0 -e now+2419200 -o example1.com -k Kexample1.com.+005+22804 /var/cache/bind/example1.com.hosts Kexample1.com.+005+61648

-e now+2419200 = 30 days

wenn das fehlerfrei durchlaufen wird, bekommen wir die datei:

/var/cache/bind/example1.com.hosts.signed

diese machen wir nun unserem bind bekannt indem wir in
der named.conf folgende anpassungen machen:

options {
   [...]
   
   dnssec-enable yes;
   
   [...]
};

[...]

zone "example1.com" {
   [...]
   
   file "/var/cache/bind/example1.com.hosts.signed";
   
   [...]
};

bind9 restarten und testen!

DNS Keys for dnsupdate

dnssec-keygen -a HMAC-MD5 -b 512 -n USER foo22.bar44.com

dann noch folgendes
ausserhalb der options-section in die named.conf eintragen:

[...]

key foo22.bar44.com. {
      algorithm HMAC-MD5;
      secret "1Yjjw072uaYWq1eehnA/xtbXOB6Ul3Q/5FFv9//2I4UUm6yscXIFuDp8 nmRQ2QFRfrsU+R1R2zIpJjZ4pFJOrw==";
      };

[...]

zone "foo22.bar44.com." {
      [...]
      allow-update {
         key foo22.bar44.com.;
         };
      [...]
      };

[...]

1. Der wert in ‘secret’ stammt aus dem File Kfoo22.bar44.com.+157+06098.key (pub-key)