Nasazení DNSSEC v KnotDNS

ZAJDAN

  • *****
  • 2 088
    • Zobrazit profil
    • E-mail
Nasazení DNSSEC v KnotDNS
« kdy: 09. 03. 2018, 08:14:46 »
Ahoj,
nechtěl by někdo napsat / nemá někdo ...podrobnější návod jak nasadit KnotDNS s DNSSEC?
Nemám s tím naprosto žádnou zkušenost, tak bych si to rád zkusil.
díky
« Poslední změna: 09. 03. 2018, 10:05:01 od Petr Krčmář »
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


Re:Nasazení DNSSEC v KnotDNS
« Odpověď #1 kdy: 09. 03. 2018, 10:05:56 »
KnotDNS má výbornou a velmi podrobnou dokumentaci, doporučuji se jí řídit.

ZAJDAN

  • *****
  • 2 088
    • Zobrazit profil
    • E-mail
Re:Nasazení DNSSEC v KnotDNS
« Odpověď #2 kdy: 09. 03. 2018, 10:32:00 »
KnotDNS má výbornou a velmi podrobnou dokumentaci, doporučuji se jí řídit.
děkuji, šlo mi spíše o vlastní zkušenosti z nasazení, někdo kdo to osobně nasazoval, co ho potkalo za problémy(jestli tedy) a tak
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

wimpy

Re:Nasazení DNSSEC v KnotDNS
« Odpověď #3 kdy: 09. 03. 2018, 10:51:40 »
Opravdu to proběhlo bez problémů - stačí nastavit policy a pak pro požadovanou zónu/zóny nastavit dnssec-signing: on. Automaticky se vygenerují klíče a následně provede podpis. Nakonec je nutno vytvořit keyset pro nadřazenou zónu (předpokládám .cz), případně vytvořit pomocí keymgr potřebné DS záznamy. Konkrétní postup nastavení v nadřazené zóně záleží na tvém registrátorovi a TLD. Funkčnost ověříš pomocí některého z online nástrojů, např. https://dnssec-debugger.verisignlabs.com/. Přenos z master na slave servery probíhá naprosto shodně jako u nepodepsaných zón, na slave strojích se nic nového nenastavuje.

wimpy

Re:Nasazení DNSSEC v KnotDNS
« Odpověď #4 kdy: 09. 03. 2018, 10:59:04 »
Ještě doplním: pokud se jedná o českou doménu, tak s novým KnotDNS ani nemusíš nic registrovat sám, protože pomocí CDNSKEY a CDS záznamů si CZ.NIC vytvoří vše potřebné sám. Trvá to tuším asi týden - byl tady na rootu o tom článek. Tímto způsobem je také možná i automatická rotace KSK.