Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
Seuraava revisio | Edellinen revisio | ||
faq:dnssec [2023-01-26 19:46] – luotu kivinen | faq:dnssec [2024-07-27 00:33] (nykyinen) – cat | ||
---|---|---|---|
Rivi 1: | Rivi 1: | ||
====== ikidomain ja dnssec ====== | ====== ikidomain ja dnssec ====== | ||
+ | |||
+ | Ikidomain voi olla myös DNSSEC suojattu jos oma nimipalvelimella olevat tiedot on suojattu DNSSEC: | ||
+ | |||
+ | ===== Bind ja auto-dnssec ===== | ||
+ | |||
+ | Auto-dnssec ominaisuus on poistumassa bind 9.20 versiosta lähtien. Tilalle on tullut dnssec-policy asetus. kts. alempana. | ||
+ | |||
+ | Mikäli käytetään esim bind:ia niin tämän saa tehtyä niin että laittaa nimipalvelun zone kohtaan '' | ||
+ | |||
+ | < | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | auto-dnssec maintain; | ||
+ | key-directory "/ | ||
+ | update-policy local; | ||
+ | }; | ||
+ | </ | ||
+ | |||
+ | /etc/namedb hakemistoon pitää luoda avaimet '' | ||
+ | |||
+ | < | ||
+ | $ dnssec-keygen -a ECDSAP256SHA256 -n zone kivinen.iki.fi | ||
+ | $ dnssec-keygen -a ECDSAP256SHA256 -n zone -f KSK kivinen.iki.fi | ||
+ | < | ||
+ | |||
+ | Itse zone tiedostossa sitten sanotaan '' | ||
+ | |||
+ | < | ||
+ | $ORIGIN . | ||
+ | $TTL 3600 ; 1 hour | ||
+ | kivinen.iki.fi | ||
+ | 2024053100 ; serial | ||
+ | 3600 ; refresh (1 hour) | ||
+ | 300 ; retry (5 minutes) | ||
+ | 3600000 | ||
+ | 3600 ; minimum (1 hour) | ||
+ | ) | ||
+ | NS ns.iki.fi. | ||
+ | NS ns.kivinen.iki.fi. | ||
+ | NS ns2.kivinen.iki.fi. | ||
+ | A | ||
+ | AAAA 2001: | ||
+ | MX 1 mail.kivinen.iki.fi. | ||
+ | |||
+ | $INCLUDE Kkivinen.iki.fi.+013+61140.key | ||
+ | $INCLUDE Kkivinen.iki.fi.+013+61000.key | ||
+ | </ | ||
+ | |||
+ | Tämän jälkeen allekirjoitetaan zone tiedosto komennolla: | ||
+ | |||
+ | < | ||
+ | dnssec-signzone -N INCREMENT -o kivinen.iki.fi kivinen.iki.fi | ||
+ | </ | ||
+ | |||
+ | Tämä pitää tietysti tehdä joka kerta kun zone tiedostoa muutetaan. | ||
+ | |||
+ | ===== Bind ja dnssec-policy ===== | ||
+ | |||
+ | |||
+ | |||
+ | Dnssec-policy: | ||
+ | |||
+ | < | ||
+ | dnssec-policy " | ||
+ | keys { | ||
+ | ksk lifetime unlimited algorithm ecdsa256; | ||
+ | zsk lifetime P60D algorithm ecdsa256; | ||
+ | }; | ||
+ | }; | ||
+ | </ | ||
+ | |||
+ | Esimerkissä KSK pysyy aina samana mutta ZSK vaihdetaan automaattisesti 60 päivän välein. | ||
+ | |||
+ | Zonen määrityksissä pitää olla määriteltynä '' | ||
+ | |||
+ | < | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | |||
+ | key-directory " | ||
+ | | ||
+ | inline-signing yes; | ||
+ | dnssec-policy my-policy; | ||
+ | }; | ||
+ | </ | ||
+ | |||
+ | Key directory kertoo mihin hakemistoon avaimet luodaan. Hakemiston tulee olla bind:in kirjoitettavissa. | ||
+ | |||
+ | Lisää aiheesta [[https:// | ||
+ | |||
+ | ===== Lopuksi ===== | ||
+ | |||
+ | |||
+ | Kun nimipalvelin on käynnstetty uudestaan niin sen jälkeen voi mennä iki:n jäsenrekisterin ja sanoa siellä että '' | ||
+ | |||