Forwarded from Forst
Как быстро подписать DNS-зону для DNSSEC в BIND >= 9.9
Генерируем ключ подписи ключей (KSK)
Формируем DS-запись из KSK, передаём её доменному регистратору
Генерируем ключ подписи зоны (ZSK)
Дописываем в конфигурацию зоны (блок zone)
Подгружаем ключи для зоны
Подписываем зону с включением NSEC3 (механизм доказательства отсутствия записей)
Обновление подписей после истечения срока их действия будет производиться сервером автоматически.
#dns #dnssec #bind
Генерируем ключ подписи ключей (KSK)
# dnssec-keygen -3 -f KSK -a RSASHA256 -b 4096 -n ZONE example.com.
Формируем DS-запись из KSK, передаём её доменному регистратору
# dnssec-dsfromkey -2 Kexample.com.+008+NNNNN.key > dsset-example.com.
Генерируем ключ подписи зоны (ZSK)
# dnssec-keygen -3 -a RSASHA256 -b 2048 -n ZONE example.com.
Дописываем в конфигурацию зоны (блок zone)
auto-dnssec maintain;
inline-signing yes;
key-directory "/путь/к/папке/с/ключами";
Подгружаем ключи для зоны
# rndc loadkeys example.com.
Подписываем зону с включением NSEC3 (механизм доказательства отсутствия записей)
# rndc signing -nsec3param 1 0 10 $(openssl rand -hex 16) example.com.
Обновление подписей после истечения срока их действия будет производиться сервером автоматически.
#dns #dnssec #bind