Fórum Root.cz
Hlavní témata => Server => Téma založeno: ZAJDAN 09. 03. 2018, 08:14:46
-
Ahoj,
nechtěl by někdo napsat / nemá někdo ...podrobnější návod jak nasadit KnotDNS s DNSSEC?
Nemám s tím naprosto žádnou zkušenost, tak bych si to rád zkusil.
díky
-
KnotDNS má výbornou a velmi podrobnou dokumentaci (https://www.knot-dns.cz/docs/2.6/html/configuration.html#automatic-dnssec-signing), doporučuji se jí řídit.
-
KnotDNS má výbornou a velmi podrobnou dokumentaci (https://www.knot-dns.cz/docs/2.6/html/configuration.html#automatic-dnssec-signing), doporučuji se jí řídit.
děkuji, šlo mi spíše o vlastní zkušenosti z nasazení, někdo kdo to osobně nasazoval, co ho potkalo za problémy(jestli tedy) a tak
-
Opravdu to proběhlo bez problémů - stačí nastavit policy a pak pro požadovanou zónu/zóny nastavit dnssec-signing: on. Automaticky se vygenerují klíče a následně provede podpis. Nakonec je nutno vytvořit keyset pro nadřazenou zónu (předpokládám .cz), případně vytvořit pomocí keymgr potřebné DS záznamy. Konkrétní postup nastavení v nadřazené zóně záleží na tvém registrátorovi a TLD. Funkčnost ověříš pomocí některého z online nástrojů, např. https://dnssec-debugger.verisignlabs.com/ (https://dnssec-debugger.verisignlabs.com/). Přenos z master na slave servery probíhá naprosto shodně jako u nepodepsaných zón, na slave strojích se nic nového nenastavuje.
-
Ještě doplním: pokud se jedná o českou doménu, tak s novým KnotDNS ani nemusíš nic registrovat sám, protože pomocí CDNSKEY a CDS záznamů si CZ.NIC vytvoří vše potřebné sám. Trvá to tuším asi týden - byl tady na rootu o tom článek. Tímto způsobem je také možná i automatická rotace KSK.