ikiWiki

Käyttäjän työkalut

Sivuston työkalut

Olet täällä: ikiWiki » faq » ikidomain ja dnssec
Jäljet:
faq:dnssec

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

Both sides previous revisionEdellinen revisio
faq:dnssec [2024-06-11 18:47] kivinenfaq:dnssec [2024-07-27 00:33] (nykyinen) cat
Rivi 2: Rivi 2:
  
 Ikidomain voi olla myös DNSSEC suojattu jos oma nimipalvelimella olevat tiedot on suojattu DNSSEC:illä. Ikidomain voi olla myös DNSSEC suojattu jos oma nimipalvelimella olevat tiedot on suojattu DNSSEC:illä.
 +
 +===== Bind ja auto-dnssec =====
 +
 +Auto-dnssec ominaisuus on poistumassa bind 9.20 versiosta lähtien. Tilalle on tullut dnssec-policy asetus. kts. alempana.
  
 Mikäli käytetään esim bind:ia niin tämän saa tehtyä niin että laittaa nimipalvelun zone kohtaan ''auto-dnssec maintain;'' ja ''update-policy local;'' rivit eli esim: Mikäli käytetään esim bind:ia niin tämän saa tehtyä niin että laittaa nimipalvelun zone kohtaan ''auto-dnssec maintain;'' ja ''update-policy local;'' rivit eli esim:
Rivi 52: Rivi 56:
  
 Tämä pitää tietysti tehdä joka kerta kun zone tiedostoa muutetaan.  Tämä pitää tietysti tehdä joka kerta kun zone tiedostoa muutetaan. 
 +
 +===== Bind ja dnssec-policy =====
 +
 +
 +
 +Dnssec-policy:ä käytettäessä avainten luonti tapahtuu automaattisesti. Sisäänrakennettu default policy luo yhden csk (combined signing key) avaimen. Jos halutaan käyttää erillistä KSK ja ZSK avainta, pitää luoda oma policy esim seuraavati:
 +
 +<code>
 +dnssec-policy "my-policy" {
 +    keys {
 +        ksk lifetime unlimited algorithm ecdsa256;
 +        zsk lifetime P60D algorithm ecdsa256;
 +    };
 +};
 +</code>
 +
 +Esimerkissä KSK pysyy aina samana mutta ZSK vaihdetaan automaattisesti 60 päivän välein.
 +
 +Zonen määrityksissä pitää olla määriteltynä ''dnssec-policy'' sekä ''inline-signing yes''.
 +
 +<code>
 +zone "cat.iki.fi" {
 +        type master;
 +        file "master/cat.iki.fi";
 +
 +        key-directory "keys/cat.iki.fi";
 +        
 +        inline-signing yes;
 +        dnssec-policy my-policy;
 +};
 +</code>
 +
 +Key directory kertoo mihin hakemistoon avaimet luodaan. Hakemiston tulee olla bind:in kirjoitettavissa.
 +
 +Lisää aiheesta [[https://kb.isc.org/docs/dnssec-key-and-signing-policy|ISC: sivuilla]]
 + 
 +===== Lopuksi =====
 +
  
 Kun nimipalvelin on käynnstetty uudestaan niin sen jälkeen voi mennä iki:n jäsenrekisterin ja sanoa siellä että ''Hae DS tietueet'' ja tämä komento hakee tiedot jäsenen nimipalvelimesta ja muuttaa ne sopivaan muotoon ja lisää ne iki:n jäsenrekisteriin. Tämän jälkeen tunnin kuluttua voi ruveta testamaan että mitä nuo erilaiset dnssec testauspalvelut (esim https://dnsviz.net/) sanovat zonesta. Kun nimipalvelin on käynnstetty uudestaan niin sen jälkeen voi mennä iki:n jäsenrekisterin ja sanoa siellä että ''Hae DS tietueet'' ja tämä komento hakee tiedot jäsenen nimipalvelimesta ja muuttaa ne sopivaan muotoon ja lisää ne iki:n jäsenrekisteriin. Tämän jälkeen tunnin kuluttua voi ruveta testamaan että mitä nuo erilaiset dnssec testauspalvelut (esim https://dnsviz.net/) sanovat zonesta.
  
  
faq/dnssec.1718131638.txt.gz · Viimeksi muutettu: 2024-06-11 18:47 / kivinen

Sivutyökalut

Jollei muuta ole mainittu, niin sisältö tässä wikissä on lisensoitu seuraavalla lisenssillä: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki