На главную страницу  
+7 (499) 124-62-26
О компании Продукты Решения Скачать Купить Цены Контакты
КриптоПакет
OpenVPN-ГОСТ
КриптоТуннель

МагПро DNS.

Подписание зон с использованием утилиты dnssec-signzone


Установка

dnssec-signzone устанавливается вместе с DNS-сервером BIND. Следуйте инструкциям на странице:
Установка и настройка DNS-сервера BIND.


Подготовка

Для выполнения операции подписания зон мы рекомендуем создать отдельную поддиректорию, например, «zone-dnssec», в рабочей директории BIND. Мы рекомендуем назначить «root» владельцем директории, установить для директории такую же группу, как у пользователя, от имени которого будет запускаться BIND и установить права чтения/записи/исполнения 750. Далее скопировать зонные файлы в данную директорию и все дальнейшие операции производить в ней.


Генерация ключей

Первый ключ — ZSK. Используется для подписания зонного файла.

Для создания ключа ZSK используйте команду:

# /usr/local/sbin/dnssec-keygen -r /dev/random -a GOST2001 -b 512 -n ZONE example.com

ВНИМАНИЕ: когда Вы генерируете ключи или подписываете зоны, следует вызывать команды с полными путями к исполняемым файлам. Таким образом Вы сможете избежать вызова утилит, не поддерживающих криптоалгоритмы ГОСТ. Также Вы можете отредактировать должным образом переменную окружения PATH.

В результате выполнения команды будут сгенерированы два файла:
Kexample.com.+012+XXXXX.key и Kexample.com.+012+XXXXX.private — открытая и закрытая часть ZSK.

Второй ключ — KSK. Он используется для подписи ZSK и генерации DS-записей. Для его создания используйте команду:

# /usr/local/sbin/dnssec-keygen -r /dev/random -f KSK -a GOST2001 -b 512 -n ZONE example.com

В результате выполнения команды будут сгенерированы два файла:

Kexample.com.+012+YYYYY.key и Kexample.com.+012+YYYYY.private — открытая и закрытая часть KSK.

Ключи ZSK и KSK можно отличить друг от друга просмотрев публичную часть ключа (например, командой $ cat Kexample.com.+012+YYYYY.key). Отличить их можно по коду после записи «IN DNSKEY»:

256 — ZSK,
257 — KSK

example.com. IN DNSKEY 256 3 12 4/M4Fhcg0B56sRFrnDnprJhfvnA77uNleBtGSH+jVbl04lbVpOJ9A0qT r+zX6lnEZjqrMAxNNcJ7ZKQ+cp3v9g==

Также можно проверить номер алгоритма, по которому сгенерирован ключ: 12 — это GOST.

Вам необходимо добавить открытые части ZSK и KSK в файл неподписанной зоны: 

# cat Kexample.com*key >> example.com

Подписание зоны

ВНИМАНИЕ: перед подписанием зоны следует увеличить её serial.

# /usr/local/sbin/dnssec-signzone -r /dev/random example.com

В результате выполнения команды будут сгенерированы два файла:

dsset-example.com.
example.com.signed

dsset-example.com. — это файл, содержащий DS-записи ключей, он необходим для построения цепочек доверия.
example.com.signed — это файл, содержащий подписанную зону.

После этого следует переслать DS-записи администратору вышестоящего домена (только если этот домен поддерживает DNSSEC и будет точкой входа или звеном цепочки доверия).


Загрузка зон без перезапуска сервера

При внесении изменений в зоны Вы можете перечитать их, не перезапуская BIND. Для этого следует использовать комманду:

$ sudo rndc reload
 
Copyright © ООО "Криптоком". 2001-2024. All Rights Reserved.