12:27 <@donald> bedziemy kwiczec 5 maja, oj bedziemy..
Nie taki diabeł straszny jak go malują ;)
Standartowo nie będę się rozpisywał bo ja nie z tych a i po co jak to proste :)
Zaczynamy od rejestracji na https://dlv.isc.org/users/new
Po zarejestrowaniu się czyli mail zwrotny itp musimy troszeczkę pozmieniać konfiguracje naszego binda
logujemy sie na nasz serwer i zaczynamy dłubać w bindzie
Zaczynamy od named.conf musimy dodać następujące wpisy
root@obsd:/var/named/key> vi /var/named/etc/named.conf
options {
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside . trust-anchor dlv.isc.org.;
};
logging {
channel dnssec_log {
file "log/dnssec" versions 2;
print-time yes; // add timestamp the entries
print-category yes; // add category name
print-severity yes; // add severity level
severity debug 3; // print debug messages
};
category dnssec { dnssec_log; };
};
Natępnie musimy pobrać DLV KSK Public key z http://ftp.isc.org/www/dlv/dlv.isc.org.key
lub http://ftp.isc.org/www/dlv/dlv.isc.org.named.conf
czyli dodajemy poniższy wpis do named.conf
trusted-keys {
dlv.isc.org. 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2 brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+ 1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5 ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt TDN0YUuWrBNh";
};
Przechodzimy do generowania kluczy, zaczynamy od klucza KSK
root@obsd:/var/named/key> dnssec-keygen -r /dev/urandom -f KSK -a RSASHA1 -b 2048 -n ZONE jestemlama.org
Kjestemlama.org.+005+11692
Następnie ZSK
root@obsd:/var/named/key> dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE jestemlama.org
Kjestemlama.org.+005+11388
Musimy dodać teraz oba klucze do pliku strefy jestemlama.org
root@obsd:/var/named/key> vi /var/named/master/JestemLama.org.zone
Poniżej cała zawartość pliu strefy:
$TTL 86400
$ORIGIN jestemlama.org.
@ IN SOA bsd.jestemlama.org. root.jestemlama.org. (
2010042701 ; Serial
3600 ; Refresh 2 d
7200 ; Retry 8 h
1209600 ; Expire 1000 hours
60480 ) ; Minimum (ttl default) 0.7 d
@ IN NS bsd.jestemlama.org.
@ IN NS giga.proinfo.com.pl.
IN MX 10 mail.jestemlama.org.
$include /var/named/key/Kjestemlama.org.+005+11692.key
$include /var/named/key/Kjestemlama.org.+005+11388.key
jestemlama.org. IN TXT "v=spf1 +mx ip4:91.194.18.250 +a:jestemlama.org -all"
@ IN A 91.194.18.250
bsd IN A 91.194.18.250
mail IN A 91.194.18.250
Nie zapominamy o zmianie seriala
Teraz logujemy się na https://dlv.isc.org/session/new i klikamy w Manage Zones
W moim przypadku mam już podpisane 2 domeny, netbsd.net.pl i obsd.eu.org
ale podpiszemy kolejną JestemLama.org, w tym celu klikamy na (add a zone)
Teraz musimy zupladować nasz klucz KSK do isc.org, jak przegrałem sobie go z serwera za pomocą winscp
Powinno pokazać się coś takiego:
Po kliknięciu na Uplad pokaże się informacja:
klikamy na (back to zone information) i dostajemy takie informacje
Wracamy do nameda i poprawiamy plik strefy czyli dopisujemy dlv.jestemlama.org. 0 IN TXT "DLV:1:oiwfjbbtbwmb"
root@obsd:/var/named/key> vi /var/named/master/JestemLama.org.zone
$TTL 86400
$ORIGIN jestemlama.org.
@ IN SOA bsd.jestemlama.org. root.jestemlama.org. (
2010042702 ; Serial
3600 ; Refresh 2 d
7200 ; Retry 8 h
1209600 ; Expire 1000 hours
60480 ) ; Minimum (ttl default) 0.7 d
@ IN NS bsd.jestemlama.org.
@ IN NS giga.proinfo.com.pl.
IN MX 10 mail.jestemlama.org.
; IN TXT "v=spf1 ip4:91.194.18.13 a:obsd.eu.org ?all"
dlv.jestemlama.org. 0 IN TXT "DLV:1:oiwfjbbtbwmb"
$include /var/named/key/Kjestemlama.org.+005+11692.key
$include /var/named/key/Kjestemlama.org.+005+11388.key
jestemlama.org. IN TXT "v=spf1 +mx ip4:91.194.18.250 +a:jestemlama.org -all"
@ IN A 91.194.18.250
bsd IN A 91.194.18.250
mail IN A 91.194.18.250
Teraz należy podpisać strefę dlv.isc.org
root@obsd:/var/named/key> dnssec-signzone -l dlv.isc.org -r /dev/urandom -o jestemlama.org \
> -k Kjestemlama.org.+005+11692 /var/named/master/JestemLama.org.zone \
> Kjestemlama.org.+005+11388
/var/named/master/JestemLama.org.zone.signed
Zmieniamy w named conf plik mastera czyli otrzymany powyżej /var/named/master/JestemLama.org.zone.signed
root@obsd:/var/named/key> vi /var/named/etc/named.conf
zone "jestemlama.org" {
type master;
file "master/JestemLama.org.zone";
allow-transfer {84.40.236.1; };
notify yes;
};
na
zone "jestemlama.org" {
type master;
file "master/JestemLama.org.zone.signed";
allow-transfer {84.40.236.1; };
notify yes;
};
I przeładowujemy nameda
root@obsd:/var/named/key> pkill named; named
Po otrzymaniu przez secdns pliku strefy sprwadzamy w ISC stan domeny:
I chyba to tyle.
Dla leniwych do pobrania gotowy skrypt, wystarczy wpisać, login, pass do isc.org, podać lokalizacje named.conf i nazwy domen.
Zresztą wszystko jest w środku opisane
