Sisällysluettelo

ikidomain ja dnssec

Ikidomain voi olla myös DNSSEC suojattu jos oma nimipalvelimella olevat tiedot on suojattu DNSSEC:illä.

Bind ja auto-dnssec

Auto-dnssec ominaisuus on poistumassa bind 9.20 versiosta lähtien. Tilalle on tullut dnssec-policy asetus. kts. alempana.

Mikäli käytetään esim bind:ia niin tämän saa tehtyä niin että laittaa nimipalvelun zone kohtaan auto-dnssec maintain; ja update-policy local; rivit eli esim:

zone "kivinen.iki.fi" {
        type master;
        file "kivinen.iki.fi.signed";
        auto-dnssec maintain;
        key-directory "/etc/namedb";
        update-policy local;
};

/etc/namedb hakemistoon pitää luoda avaimet dnssec-keygen ohjelmalla:

$ dnssec-keygen -a ECDSAP256SHA256 -n zone kivinen.iki.fi
$ dnssec-keygen -a ECDSAP256SHA256 -n zone -f KSK kivinen.iki.fi
<code>

Itse zone tiedostossa sitten sanotaan ''$INCLUDE K<avaintiedosto>.key'' sekä zone että KSK avaimille:

<code>
$ORIGIN .
$TTL 3600       ; 1 hour
kivinen.iki.fi          IN SOA  ns.kivinen.iki.fi. hostmaster.kivinen.iki.fi. (
                                2024053100 ; serial
                                3600       ; refresh (1 hour)
                                300        ; retry (5 minutes)
                                3600000    ; expire (5 weeks 6 days 16 hours)
                                3600       ; minimum (1 hour)
                                )
                        NS      ns.iki.fi.
                        NS      ns.kivinen.iki.fi.
                        NS      ns2.kivinen.iki.fi.
                        A       83.145.195.1
                        AAAA    2001:1bc8:100d::2
                        MX      1 mail.kivinen.iki.fi.

$INCLUDE Kkivinen.iki.fi.+013+61140.key
$INCLUDE Kkivinen.iki.fi.+013+61000.key

Tämän jälkeen allekirjoitetaan zone tiedosto komennolla:

dnssec-signzone -N INCREMENT -o kivinen.iki.fi kivinen.iki.fi

Tämä pitää tietysti tehdä joka kerta kun zone tiedostoa muutetaan.

Bind ja dnssec-policy

Dnssec-policy:ä käytettäessä avainten luonti tapahtuu automaattisesti. Sisäänrakennettu default policy luo yhden csk (combined signing key) avaimen. Jos halutaan käyttää erillistä KSK ja ZSK avainta, pitää luoda oma policy esim seuraavati:

dnssec-policy "my-policy" {
    keys {
        ksk lifetime unlimited algorithm ecdsa256;
        zsk lifetime P60D algorithm ecdsa256;
    };
};

Esimerkissä KSK pysyy aina samana mutta ZSK vaihdetaan automaattisesti 60 päivän välein.

Zonen määrityksissä pitää olla määriteltynä dnssec-policy sekä inline-signing yes.

zone "cat.iki.fi" {
        type master;
        file "master/cat.iki.fi";

        key-directory "keys/cat.iki.fi";
        
        inline-signing yes;
        dnssec-policy my-policy;
};

Key directory kertoo mihin hakemistoon avaimet luodaan. Hakemiston tulee olla bind:in kirjoitettavissa.

Lisää aiheesta ISC: sivuilla

Lopuksi

Kun nimipalvelin on käynnstetty uudestaan niin sen jälkeen voi mennä iki:n jäsenrekisterin ja sanoa siellä että Hae DS tietueet ja tämä komento hakee tiedot jäsenen nimipalvelimesta ja muuttaa ne sopivaan muotoon ja lisää ne iki:n jäsenrekisteriin. Tämän jälkeen tunnin kuluttua voi ruveta testamaan että mitä nuo erilaiset dnssec testauspalvelut (esim https://dnsviz.net/) sanovat zonesta.