Vlastní DNSSEC na .EU doméně

[M.]

Tak jsem žádán jít do DNSSEC a zjišťuji, že mám problém s .eu doménou. Potřebuji si podepisovat sám, takže prosím, máte zkušenost s místními registrátory, kteří umožňují k eu doméně přidat vlastní klíče? Co jsem zatím se díval, tak nabízí jen podepsání jejich sadou klíčů, pokuid doménu hostuji na jejich serverech.

A druhá věc, máte v porovzu něco, co podporuje offline podepisování zón s nasledným přesunem na autoritativní DNS server už jen podepsané domény (komunikace jen ve směru od podepisujícího hosta na DNS server)? Trochu komplikováno tím, že potřebuji stejnou sadou klíčů podepisovat víc domén. S podpisem víc doménem stejným klíčem počítá OpenDNSSEC, akorát jeho výstupní adapter neumožňuje aktivně provést natlačení podepsaného souboru pryč. S tím nemá problém roller z dnssec-tools, kdy můžu vložit volání programu po podepsání na přesun souboru, ale zase moc ais nepočítá se sdílením klíčů mezi doménami.
Nebo je dostupný nějaký další toolkit pro obsluhu DNSSEC? Zatím se mi tak jeví na OpenDNSSEC s doplněním skriptem pro detekci, že došlo k podepsání a nasledným scp na cíl plus rndc.

[Reklama]

[Filip Jirsák nepřihlášený]

S českými registrátory, kteří podporují vlastní DNSSEC klíče a ještě na jiných TLD, než .cz, je to špatné. Já jsme našel asi dva, a nakonec jsem přešel k SubReg.

Pro podepisování používám interní KnotDNS, který je přístupný jenom pro autoritativní servery – je nakonfigurován jako primární, ostatní DNS servery (ty skutečné autoritativní DNS servery) jsou sekundární. Možná by bylo možné u vás použít podobnou konfiguraci.

[asa]

wedos..

[Ondřej Caletka]

S podpisem víc doménem stejným klíčem počítá OpenDNSSEC, akorát jeho výstupní adapter neumožňuje aktivně provést natlačení podepsaného souboru pryč.

Přinejmenším v době, kdy jsem psal článek o OpenDNSSEC, to možné bylo:

OpenDNSSEC umí při každém vystavení podepsaného zónového souboru zavolat příkaz, zadaný v konfiguračním souboru conf.xml

<NotifyCommand>/usr/sbin/rndc reload %zone</NotifyCommand>
Nezapomeňte, že po úpravě konfiguračního souboru je třeba promítnout změny do databáze příkazem ods-ksmutil update conf a také to, že daný příkaz se spouští s efektivním oprávněním uživatele, pod kterým běží signer. Aby mohl pomocí utility rndc ovládat BIND, je potřeba udělit mu práva ke čtení souboru /etc/bind/rndc.key, například přidáním souboru do skupiny opendnssec.

[Ondřej Caletka]

A ještě bych rád upozornil na podivné chování EU-domén s DNSSECem, které může vyvolat spoustu bolestí hlavy. Symptomy: Whois databáze ukazuje požadovaný stav, ale ten se liší od obsahu, který vrací DNS servery EURidu.

[Reklama]

[M.]

Díky, že to umí WEDOS jsem se už dopátral a i mi to potvrdili. SubReg jsem odtušil již dříve z článku Ondry, co i odkazuje ohledně lehkosti žití s DNSSEc na EU.

Nu, OpenDNSSEC pak vypadá v kombinaci s tou volbou <NotifyCommand> rozumně, jak to pak pčes skript s SCP tlačit na cíl. Budu si muset pohrát a vybádat, jak se vyrovná s multiview DNS, že potřebuji podepisovat jednu stejnou doménu firma.eu o různýchobsazích pro různé pohledy stejným klíčem, snad to OpenDNSSEC ustojí.