Käyttäjän työkalut
ikidomain ja dnssec
Ikidomain voi olla myös DNSSEC suojattu jos oma nimipalvelimella olevat tiedot on suojattu DNSSEC:illä.
Mikäli käytetään esim bind:ia niin tämän saa tehtyä niin että laittaa nimipalvelun zone kohtaan auto-dnssec maintain; ja update-policy local; rivit eli esim:
zone "kivinen.iki.fi" {
type master;
file "kivinen.iki.fi.signed";
auto-dnssec maintain;
key-directory "/etc/namedb";
update-policy local;
};
/etc/namedb hakemistoon pitää luoda avaimet dnssec-keygen ohjelmalla:
$ dnssec-keygen -a ECDSAP256SHA256 -n zone kivinen.iki.fi
$ dnssec-keygen -a ECDSAP256SHA256 -n zone -f KSK kivinen.iki.fi
<code>
Itse zone tiedostossa sitten sanotaan ''$INCLUDE K<avaintiedosto>.key'' sekä zone että KSK avaimille:
<code>
$ORIGIN .
$TTL 3600 ; 1 hour
kivinen.iki.fi IN SOA ns.kivinen.iki.fi. hostmaster.kivinen.iki.fi. (
2024053100 ; serial
3600 ; refresh (1 hour)
300 ; retry (5 minutes)
3600000 ; expire (5 weeks 6 days 16 hours)
3600 ; minimum (1 hour)
)
NS ns.iki.fi.
NS ns.kivinen.iki.fi.
NS ns2.kivinen.iki.fi.
A 83.145.195.1
AAAA 2001:1bc8:100d::2
MX 1 mail.kivinen.iki.fi.
$INCLUDE Kkivinen.iki.fi.+013+61140.key
$INCLUDE Kkivinen.iki.fi.+013+61000.key
Tämän jälkeen allekirjoitetaan zone tiedosto komennolla:
dnssec-signzone -N INCREMENT -o kivinen.iki.fi kivinen.iki.fi
Tämä pitää tietysti tehdä joka kerta kun zone tiedostoa muutetaan.
Kun nimipalvelin on käynnstetty uudestaan niin sen jälkeen voi mennä iki:n jäsenrekisterin ja sanoa siellä että Hae DS tietueet ja tämä komento hakee tiedot jäsenen nimipalvelimesta ja muuttaa ne sopivaan muotoon ja lisää ne iki:n jäsenrekisteriin. Tämän jälkeen tunnin kuluttua voi ruveta testamaan että mitä nuo erilaiset dnssec testauspalvelut (esim https://dnsviz.net/) sanovat zonesta.
