DE Zone testweise signiert
9. Januar 2010 | Von Ralf Spenneberg | Kategorie: Admin | DNS | Firewalling | VPN | IDSSeit dem 05.01.2009 ist die DE-TLD testweise signiert und kann von Caching-Forwardern genutzt werden. Wie Caching Forwarder mit DNSSEC konfiguriert werden ist in einem anderen Blog-Eintrag erwähnt. Hier soll nun die DE-Zone hinzugefügt werden.
Achtung: Die DE-Zone verwendet einen RSASHA256 Schlüssel. Ich habe bis einschließlich Bind 9.6.1 Probleme gehabt, diesen Algorithmus zu nutzen. Er wird wahrscheinlich erst in den aktuellen Beta-Versionen ab 9.6.2 unterstützt. Ich setze nun das Bind9-Paket in der Version 9.7.0 aus Debian Experimental ein. Dieses unterstützt auch den Algorithmus.
Dann funktioniert es aber sehr gut. Hierzu müssen Sie zunächst eine andere Konfiguration für die DE-Zone in dem Caching-Forwarder konfigurieren. Eine Beispielkonfiguration wird von Denic in der Datei dnssec-testbed-muster-bind.txt veröffentlicht. Lediglich zwei Nameserver liefern die DE-Zone bisher signiert aus.
Das DENIC setzt 1024-Bit ZSK Schlüssel ein, die mit einem 2048 KSK-Schlüssel signiert werden. Dieser Schlüssel muss nun ebenfalls als Trusted-Key in Bind eingerichtet werden. Diesen Schlüssel erhalten Sie auf dem DENIC-SSL-Server. Um in zu verwenden, müssen Sie das Format anpassen:
trusted-keys { de. 257 3 8 "AwEAAZ1FqQED8QBrk3Jk4q96lggh4uiwlbdbZ0posfIgcaJJqfTNBfEhn6PEPqqRP73libD55vujfYzKMN0fVd34wrdOpSTpMbw+oqQpJyecfGVYH1fnqws23n5QE03/7SN98O8Cm+HBpB66JurTHWD3f4es8IUoumb/SXY44qb+oqWfmM3wS8aQVA5d2gHpKrRIPlDHA/MB3FHGL64VpfV8KJ76kp1RBthR7Y0qalTskOouVeCOEa7gUiIljt1kTf64HFGsRi11klpCHBjtTiTg7MFN25nASuhbyTmWlRxPyg79BK7EDQ+tAe09NYkS1P7tOe8ola9IpQHTWO6ttTmSnyE="; };
Wenn Sie nun eine Anfrage über den Caching-Forwarder durchführen, werden die DE-Zonen-Informationen signiert ausgeliefert:
# dig +dnssec spenneberg.de ; <<>> DiG 9.5.1-P3 <<>> +dnssec spenneberg.de ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5378 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;spenneberg.de. IN A ;; ANSWER SECTION: spenneberg.de. 2646 IN A 87.106.54.221 ;; AUTHORITY SECTION: spenneberg.de. 85446 IN NS ns3.spenneberg.net. spenneberg.de. 85446 IN NS ns0.spenneberg.net. ;; ADDITIONAL SECTION: ns0.spenneberg.net. 85446 IN A 91.190.225.69 ns3.spenneberg.net. 2646 IN A 87.106.54.221 ns0.spenneberg.net. 85446 IN RRSIG A 5 3 86400 20100206160953 20100107160953 138 spenneberg.net. MP9W6+fL2EqFyfSRX3ETeVVByuqoZst+PrguSZqxlLpVQTBFgQ0sEtwe +riiap9p5S2a1ByWlvbdaNit2mAItDsCFQD0a2OlLtoghGNaBjmaA1jL P3lSJbQfLARdnmC+RzdwYrj/plfBM7OMpawtrX7iSQpnGsLFzrFZKbqP TWDL0dHmpyxWXZ+67I1ugXsMeKpSKUS0ByY1jYIN6cnOmhwQFsSNw5gK lj4oYw4OvwekkPBd8FzYt3wHFnzYLR2hhtMDazv0D5Ji743L+PffQ1wJ 5EanTNnOC/ybp0J05UtFwQvkM6pjDhynyJAI/aHo+nJJlCI2iAlVefb1 zm9FKw== ns3.spenneberg.net. 2646 IN RRSIG A 5 3 3600 20100206160953 20100107160953 138 spenneberg.net. HPCRgHHpsnEqQvU1YRG4vm2s/5PGwfsd8Sdw5/QcrhMrfM/NaN0TUSlh yK/2ts1QF4PlRGxot6woQfRIbGdXLSeEQeXqtuPMxg7H6xNK3p4JXFdu n0tOME20CpuyE+20xqcDPVZunOUy3b9UTP+1cDHR63mmQHO0pB4JbckX Xw2/s+BMjo7W9AOd6VUfyzdpYPahafYjKmUPnO05F06aQYePlv0XGXX5 WbCDCFp5FhRGKC/yypM4Z7Iy41if+aKWdMn6XszdlOW/iKaBZvQyc+Qx 7kQp63BEAlNI0xYQanSuDpc7tTBmzcaf+hQ0hzKZyIIaxsfOVlh5hTEi OTHwKQ== ;; Query time: 1 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Sat Jan 9 09:59:18 2010 ;; MSG SIZE rcvd: 744