====== ikidomain ja dnssec ======

Ikidomain voi olla myös DNSSEC suojattu jos oma nimipalvelimella olevat tiedot on suojattu DNSSEC:illä.

===== Bind ja auto-dnssec =====

Auto-dnssec ominaisuus on poistumassa bind 9.20 versiosta lähtien. Tilalle on tullut dnssec-policy asetus. kts. alempana.

Mikäli käytetään esim bind:ia niin tämän saa tehtyä niin että laittaa nimipalvelun zone kohtaan ''auto-dnssec maintain;'' ja ''update-policy local;'' rivit eli esim:

<code>
zone "kivinen.iki.fi" {
        type master;
        file "kivinen.iki.fi.signed";
        auto-dnssec maintain;
        key-directory "/etc/namedb";
        update-policy local;
};
</code>

/etc/namedb hakemistoon pitää luoda avaimet ''dnssec-keygen'' ohjelmalla:

<code>
$ dnssec-keygen -a ECDSAP256SHA256 -n zone kivinen.iki.fi
$ dnssec-keygen -a ECDSAP256SHA256 -n zone -f KSK kivinen.iki.fi
<code>

Itse zone tiedostossa sitten sanotaan ''$INCLUDE K<avaintiedosto>.key'' sekä zone että KSK avaimille:

<code>
$ORIGIN .
$TTL 3600       ; 1 hour
kivinen.iki.fi          IN SOA  ns.kivinen.iki.fi. hostmaster.kivinen.iki.fi. (
                                2024053100 ; serial
                                3600       ; refresh (1 hour)
                                300        ; retry (5 minutes)
                                3600000    ; expire (5 weeks 6 days 16 hours)
                                3600       ; minimum (1 hour)
                                )
                        NS      ns.iki.fi.
                        NS      ns.kivinen.iki.fi.
                        NS      ns2.kivinen.iki.fi.
                        A       83.145.195.1
                        AAAA    2001:1bc8:100d::2
                        MX      1 mail.kivinen.iki.fi.

$INCLUDE Kkivinen.iki.fi.+013+61140.key
$INCLUDE Kkivinen.iki.fi.+013+61000.key
</code>

Tämän jälkeen allekirjoitetaan zone tiedosto komennolla:

<code>
dnssec-signzone -N INCREMENT -o kivinen.iki.fi kivinen.iki.fi
</code>

Tämä pitää tietysti tehdä joka kerta kun zone tiedostoa muutetaan. 

===== Bind ja dnssec-policy =====



Dnssec-policy:ä käytettäessä avainten luonti tapahtuu automaattisesti. Sisäänrakennettu default policy luo yhden csk (combined signing key) avaimen. Jos halutaan käyttää erillistä KSK ja ZSK avainta, pitää luoda oma policy esim seuraavati:

<code>
dnssec-policy "my-policy" {
    keys {
        ksk lifetime unlimited algorithm ecdsa256;
        zsk lifetime P60D algorithm ecdsa256;
    };
};
</code>

Esimerkissä KSK pysyy aina samana mutta ZSK vaihdetaan automaattisesti 60 päivän välein.

Zonen määrityksissä pitää olla määriteltynä ''dnssec-policy'' sekä ''inline-signing yes''.

<code>
zone "cat.iki.fi" {
        type master;
        file "master/cat.iki.fi";

        key-directory "keys/cat.iki.fi";
        
        inline-signing yes;
        dnssec-policy my-policy;
};
</code>

Key directory kertoo mihin hakemistoon avaimet luodaan. Hakemiston tulee olla bind:in kirjoitettavissa.

Lisää aiheesta [[https://kb.isc.org/docs/dnssec-key-and-signing-policy|ISC: sivuilla]]
 
===== Lopuksi =====


Kun nimipalvelin on käynnstetty uudestaan niin sen jälkeen voi mennä iki:n jäsenrekisterin ja sanoa siellä että ''Hae DS tietueet'' ja tämä komento hakee tiedot jäsenen nimipalvelimesta ja muuttaa ne sopivaan muotoon ja lisää ne iki:n jäsenrekisteriin. Tämän jälkeen tunnin kuluttua voi ruveta testamaan että mitä nuo erilaiset dnssec testauspalvelut (esim https://dnsviz.net/) sanovat zonesta.