Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:dns_isc_bind_archlinux

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tachtler:dns_isc_bind_archlinux [2022/06/17 14:47] – [Überprüfung CSK: DNSsec] klaustachtler:dns_isc_bind_archlinux [2023/08/09 12:58] (aktuell) – [Vorbereitung: CSK] klaus
Zeile 2185: Zeile 2185:
 Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten. Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten.
  
-Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:+Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:
 <code> <code>
 ... ...
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
 ... ...
 </code> </code>
Zeile 2434: Zeile 2433:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "0.168.192.in-addr.arpa" IN {  zone "0.168.192.in-addr.arpa" IN {
Zeile 2441: Zeile 2439:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "tachtler.net" IN {  zone "tachtler.net" IN {
Zeile 2448: Zeile 2445:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 2455: Zeile 2451:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
 }; };
Zeile 2484: Zeile 2479:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 2491: Zeile 2485:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
 }; };
Zeile 2529: Zeile 2522:
  
 Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen:
-<code ini>+<code>
 # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi
  
Zeile 2586: Zeile 2579:
 Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird. Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird.
  
-<code ini>+<code>
 # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi
  
Zeile 2630: Zeile 2623:
  
 Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein:
-<code ini>+<code>
 # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey
  
Zeile 2704: Zeile 2697:
          csk key-directory lifetime unlimited algorithm ecdsa256;          csk key-directory lifetime unlimited algorithm ecdsa256;
     };     };
-    nsec3param iterations optout false salt-length 16;+    nsec3param iterations optout no salt-length 0;
  
     // Key timings     // Key timings
Zeile 2727: Zeile 2720:
 **__Erklärungen__**: **__Erklärungen__**:
  
-  * <code ini>nsec3param iterations optout false salt-length 16;</code>+  * <code ini>nsec3param iterations optout no salt-length 0;</code>
  
 Dies ist die einzige Änderung bzw. Ergänzung zum **''dnssec-policy''** - **''"default"''**, die Ergänzung des ''nsec3param''. Die **Optionen** des ''nsec3param'' lauten wie folgt: Dies ist die einzige Änderung bzw. Ergänzung zum **''dnssec-policy''** - **''"default"''**, die Ergänzung des ''nsec3param''. Die **Optionen** des ''nsec3param'' lauten wie folgt:
Zeile 2733: Zeile 2726:
   * Anzeige der Ausgabe   * Anzeige der Ausgabe
   * "Salt" zur Zufallsgenerierung   * "Salt" zur Zufallsgenerierung
 +
 +:!: **HINWEIS** - **Nachfolgende Seiten geben über den aktuellen Stand der Benutzung von NSEC3 Auskunft:**
 +  * https://kb.isc.org/docs/dnssec-key-and-signing-policy
 +  * https://bind9.readthedocs.io/en/latest/dnssec-guide.html
 +  * https://www.rfc-editor.org/rfc/rfc9276.html
  
 ==== DNSSec CSK: /etc/named.conf ==== ==== DNSSec CSK: /etc/named.conf ====
Zeile 2745: Zeile 2743:
 Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten. Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten.
  
-Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:+Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:
 <code> <code>
 ... ...
 +                inline-signing yes;
                 dnssec-policy defaultnsec3;                 dnssec-policy defaultnsec3;
 ... ...
 </code> </code>
 +
 +:!: **ACHTUNG** - **Falls ''inline-signing yes;'' __nicht__ gesetzt wird werden die Zonen-Dateien umgeschrieben!**
  
 :!: **HINWEIS** - Der DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] wird nach den entsprechenden Schlüsseln unter dem angegeben Pfad selbständig suchen! :!: **HINWEIS** - Der DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] wird nach den entsprechenden Schlüsseln unter dem angegeben Pfad selbständig suchen!
Zeile 2991: Zeile 2992:
  file "zones/intra.tachtler.net.zone";  file "zones/intra.tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys"; 
  };  };
  zone "0.168.192.in-addr.arpa" IN {  zone "0.168.192.in-addr.arpa" IN {
Zeile 2997: Zeile 2997:
  file "zones/0.168.192.in-addr.arpa.zone";  file "zones/0.168.192.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "tachtler.net" IN {  zone "tachtler.net" IN {
Zeile 3003: Zeile 3003:
  file "zones/tachtler.net.zone";  file "zones/tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 3009: Zeile 3009:
  file "zones/167.171.217.88.in-addr.arpa.zone";  file "zones/167.171.217.88.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
 }; };
Zeile 3037: Zeile 3037:
  file "zones/tachtler.net.zone";  file "zones/tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 3043: Zeile 3043:
  file "zones/167.171.217.88.in-addr.arpa.zone";  file "zones/167.171.217.88.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
 }; };
tachtler/dns_isc_bind_archlinux.1655470076.txt.gz · Zuletzt geändert: 2022/06/17 14:47 von klaus