DE Zone testweise signiert

9. Januar 2010 | Von | Kategorie: Admin | DNS | Firewalling | VPN | IDS

Seit dem 05.01.2009 ist die DE-TLD testweise signiert und kann von Caching-Forwardern genutzt werden. Wie Caching Forwarder mit DNSSEC konfiguriert werden ist in einem anderen Blog-Eintrag erwähnt. Hier soll nun die DE-Zone hinzugefügt werden.

Achtung: Die DE-Zone verwendet einen RSASHA256 Schlüssel. Ich habe bis einschließlich  Bind 9.6.1 Probleme gehabt, diesen Algorithmus zu nutzen. Er wird wahrscheinlich erst in den aktuellen Beta-Versionen ab 9.6.2 unterstützt. Ich setze nun das Bind9-Paket in der Version 9.7.0 aus Debian Experimental ein. Dieses unterstützt auch den Algorithmus.

Dann funktioniert es aber sehr gut. Hierzu müssen Sie zunächst eine andere Konfiguration für die DE-Zone in dem Caching-Forwarder konfigurieren. Eine Beispielkonfiguration wird von Denic in der Datei dnssec-testbed-muster-bind.txt veröffentlicht. Lediglich zwei Nameserver liefern die DE-Zone bisher signiert aus.

Das DENIC setzt 1024-Bit ZSK Schlüssel ein, die mit einem 2048 KSK-Schlüssel signiert werden. Dieser Schlüssel muss nun ebenfalls als Trusted-Key in Bind eingerichtet werden. Diesen Schlüssel erhalten Sie auf dem DENIC-SSL-Server. Um in zu verwenden, müssen Sie das Format anpassen:


trusted-keys {
de.  257 3 8 "AwEAAZ1FqQED8QBrk3Jk4q96lggh4uiwlbdbZ0posfIgcaJJqfTNBfEhn6PEPqqRP73libD55vujfYzKMN0fVd34wrdOpSTpMbw+oqQpJyecfGVYH1fnqws23n5QE03/7SN98O8Cm+HBpB66JurTHWD3f4es8IUoumb/SXY44qb+oqWfmM3wS8aQVA5d2gHpKrRIPlDHA/MB3FHGL64VpfV8KJ76kp1RBthR7Y0qalTskOouVeCOEa7gUiIljt1kTf64HFGsRi11klpCHBjtTiTg7MFN25nASuhbyTmWlRxPyg79BK7EDQ+tAe09NYkS1P7tOe8ola9IpQHTWO6ttTmSnyE=";
};

Wenn Sie nun eine Anfrage über den Caching-Forwarder durchführen, werden die DE-Zonen-Informationen signiert ausgeliefert:


# dig +dnssec spenneberg.de

; <<>> DiG 9.5.1-P3 <<>> +dnssec spenneberg.de
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5378
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;spenneberg.de.            IN    A

;; ANSWER SECTION:
spenneberg.de.        2646    IN    A    87.106.54.221

;; AUTHORITY SECTION:
spenneberg.de.        85446    IN    NS    ns3.spenneberg.net.
spenneberg.de.        85446    IN    NS    ns0.spenneberg.net.

;; ADDITIONAL SECTION:
ns0.spenneberg.net.    85446    IN    A    91.190.225.69
ns3.spenneberg.net.    2646    IN    A    87.106.54.221
ns0.spenneberg.net.    85446    IN    RRSIG    A 5 3 86400 20100206160953 20100107160953 138 spenneberg.net. MP9W6+fL2EqFyfSRX3ETeVVByuqoZst+PrguSZqxlLpVQTBFgQ0sEtwe +riiap9p5S2a1ByWlvbdaNit2mAItDsCFQD0a2OlLtoghGNaBjmaA1jL P3lSJbQfLARdnmC+RzdwYrj/plfBM7OMpawtrX7iSQpnGsLFzrFZKbqP TWDL0dHmpyxWXZ+67I1ugXsMeKpSKUS0ByY1jYIN6cnOmhwQFsSNw5gK lj4oYw4OvwekkPBd8FzYt3wHFnzYLR2hhtMDazv0D5Ji743L+PffQ1wJ 5EanTNnOC/ybp0J05UtFwQvkM6pjDhynyJAI/aHo+nJJlCI2iAlVefb1 zm9FKw==
ns3.spenneberg.net.    2646    IN    RRSIG    A 5 3 3600 20100206160953 20100107160953 138 spenneberg.net. HPCRgHHpsnEqQvU1YRG4vm2s/5PGwfsd8Sdw5/QcrhMrfM/NaN0TUSlh yK/2ts1QF4PlRGxot6woQfRIbGdXLSeEQeXqtuPMxg7H6xNK3p4JXFdu n0tOME20CpuyE+20xqcDPVZunOUy3b9UTP+1cDHR63mmQHO0pB4JbckX Xw2/s+BMjo7W9AOd6VUfyzdpYPahafYjKmUPnO05F06aQYePlv0XGXX5 WbCDCFp5FhRGKC/yypM4Z7Iy41if+aKWdMn6XszdlOW/iKaBZvQyc+Qx 7kQp63BEAlNI0xYQanSuDpc7tTBmzcaf+hQ0hzKZyIIaxsfOVlh5hTEi OTHwKQ==

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Jan  9 09:59:18 2010
;; MSG SIZE  rcvd: 744

Post to Twitter Post to Yahoo Buzz Post to Delicious Post to Digg Post to Facebook Post to Ping.fm Post to Reddit

Tags: | | | | | | | |

Schreibe einen Kommentar

Fühle dich ermuntert einen Kommentar, Anmerkungen, Hinweise oder deine Ideen zum Thema zu hinterlassen. Wir freuen uns über deine Rückmeldung.