DNSSec: Difference between revisions
No edit summary |
No edit summary |
||
Line 36: | Line 36: | ||
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST kudamm.chaos.local |
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST kudamm.chaos.local |
||
----------------------- |
|||
erste config wieder zurueck gespielt |
|||
dig +dnssec -t DNSKEY chaos.local |grep 257 > trusted_chaos |
|||
trusted chaos bearbeiten |
|||
dann drill -DS mitte.chaos.local -k trusted_chaos |
|||
CHASE SUCCESSFUL :) |
Revision as of 08:40, 22 September 2011
DNSSEC:
zwei unterschiedliche ansaetze:
- komplette chain-of-trust von root zu jeweiliger zone
- "schatten-dns" ueber dlv.isc.org
benutzte tools: bind 9.7.3 dig dnssec-tools validator (debianpaket in stable veraltet, selbst compilieren)
beispiele:
- validierung klappt ueber dlv aber nicht ueber "normal"
drill:
trust key erstellen: dig +dnssec -t DNSKEY dlv.isc.org >> dlv.trusted.key alles rausloeschen ausser: "dlv.isc.org. IN DNSKEY 257 ....." (die zahl zwischen dlv.isc.org und IN muss auch weg) drill -DS dlv.isc.org -k dlv.trusted.key
pro zone 1 oder mehr keys - darf zur zeit nur RSASHA1 sein: bind 9.7 manual 4.8.1: It is recommended that zone keys use a cryptographic algorithm designated as ”mandatory to implement” by the IETF; currently the only one is RSASHA1. The following command will generate a 768-bit RSASHA1 key for the child.example zone: dnssec-keygen -a RSASHA1 -b 768 -n ZONE child.example.
openssl base64 -e -in dateimitgeheimnis >> dateimitgeheimnisbase64
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST kudamm.chaos.local
erste config wieder zurueck gespielt
dig +dnssec -t DNSKEY chaos.local |grep 257 > trusted_chaos
trusted chaos bearbeiten
dann drill -DS mitte.chaos.local -k trusted_chaos
CHASE SUCCESSFUL :)