Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

--- faq:dnssec [2023-01-26 19:46] – luotu kivinen
+++ faq:dnssec [2024-07-27 00:33] (nykyinen) – cat
@@ Rivi 1: / Rivi 1: @@
 ====== ikidomain ja dnssec ======
+Ikidomain voi olla myös DNSSEC suojattu jos oma nimipalvelimella olevat tiedot on suojattu DNSSEC:illä.
+===== Bind ja auto-dnssec =====
+Auto-dnssec ominaisuus on poistumassa bind 9.20 versiosta lähtien. Tilalle on tullut dnssec-policy asetus. kts. alempana.
+Mikäli käytetään esim bind:ia niin tämän saa tehtyä niin että laittaa nimipalvelun zone kohtaan ''auto-dnssec maintain;'' ja ''update-policy local;'' rivit eli esim:
+<code>
+zone "kivinen.iki.fi" {
+        type master;
+        file "kivinen.iki.fi.signed";
+        auto-dnssec maintain;
+        key-directory "/etc/namedb";
+        update-policy local;
+};
+</code>
+/etc/namedb hakemistoon pitää luoda avaimet ''dnssec-keygen'' ohjelmalla:
+<code>
+$ dnssec-keygen -a ECDSAP256SHA256 -n zone kivinen.iki.fi
+$ dnssec-keygen -a ECDSAP256SHA256 -n zone -f KSK kivinen.iki.fi
+<code>
+Itse zone tiedostossa sitten sanotaan ''$INCLUDE K<avaintiedosto>.key'' sekä zone että KSK avaimille:
+<code>
+$ORIGIN .
+$TTL 3600       ; 1 hour
+kivinen.iki.fi          IN SOA  ns.kivinen.iki.fi. hostmaster.kivinen.iki.fi. (
+                                2024053100 ; serial
+       ; refresh (1 hour)
+        ; retry (5 minutes)
+                                3600000    ; expire (5 weeks 6 days 16 hours)
+       ; minimum (1 hour)
+                                )
+                        NS      ns.iki.fi.
+                        NS      ns.kivinen.iki.fi.
+                        NS      ns2.kivinen.iki.fi.
+                        A       83.145.195.1
+                        AAAA    2001:1bc8:100d::2
+                        MX      1 mail.kivinen.iki.fi.
+$INCLUDE Kkivinen.iki.fi.+013+61140.key
+$INCLUDE Kkivinen.iki.fi.+013+61000.key
+</code>
+Tämän jälkeen allekirjoitetaan zone tiedosto komennolla:
+<code>
+dnssec-signzone -N INCREMENT -o kivinen.iki.fi kivinen.iki.fi
+</code>
+Tämä pitää tietysti tehdä joka kerta kun zone tiedostoa muutetaan.
+===== Bind ja dnssec-policy =====
+Dnssec-policy:ä käytettäessä avainten luonti tapahtuu automaattisesti. Sisäänrakennettu default policy luo yhden csk (combined signing key) avaimen. Jos halutaan käyttää erillistä KSK ja ZSK avainta, pitää luoda oma policy esim seuraavati:
+<code>
+dnssec-policy "my-policy" {
+    keys {
+        ksk lifetime unlimited algorithm ecdsa256;
+        zsk lifetime P60D algorithm ecdsa256;
+    };
+};
+</code>
+Esimerkissä KSK pysyy aina samana mutta ZSK vaihdetaan automaattisesti 60 päivän välein.
+Zonen määrityksissä pitää olla määriteltynä ''dnssec-policy'' sekä ''inline-signing yes''.
+<code>
+zone "cat.iki.fi" {
+        type master;
+        file "master/cat.iki.fi";
+        key-directory "keys/cat.iki.fi";
+        inline-signing yes;
+        dnssec-policy my-policy;
+};
+</code>
+Key directory kertoo mihin hakemistoon avaimet luodaan. Hakemiston tulee olla bind:in kirjoitettavissa.
+Lisää aiheesta [[https://kb.isc.org/docs/dnssec-key-and-signing-policy|ISC: sivuilla]]
+===== Lopuksi =====
+Kun nimipalvelin on käynnstetty uudestaan niin sen jälkeen voi mennä iki:n jäsenrekisterin ja sanoa siellä että ''Hae DS tietueet'' ja tämä komento hakee tiedot jäsenen nimipalvelimesta ja muuttaa ne sopivaan muotoon ja lisää ne iki:n jäsenrekisteriin. Tämän jälkeen tunnin kuluttua voi ruveta testamaan että mitä nuo erilaiset dnssec testauspalvelut (esim https://dnsviz.net/) sanovat zonesta.

ikiWiki

Käyttäjän työkalut

Sivuston työkalut

Erot

Sivutyökalut