Agenda: dnssec-bind-firmado-manual.txt

File dnssec-bind-firmado-manual.txt, 4.3 KB (added by admin, 7 years ago)
Line 
1        *** EN SU SERVIDOR AUTORIZADO ***
2
31. MuŽvase al directorio donde se encuentra la zona, y haga una copia
4   de respaldo (asuminedo que se llame "MITLD"), por si acaso
5
6    # cd /etc/namedb/master
7    # cp MITLD MITLD.backup
8
9  TambiŽn cree un directorio para guardar las claves
10
11    # mkdir /etc/namedb/keys
12    # chown bind /etc/namedb/keys
13
14    # cd /etc/namedb/keys
15
162. Genere el primer par de claves (ZSK - Clave para firmar la zona)
17
18    # dnssec-keygen -a RSASHA1 -b 1024 -n ZONE MITLD
19    KMITLD.+005+51333
20
213. Genere el segundo par (KSK - Clave para firmar la otra clave)
22
23    # dnssec-keygen -f KSK -a RSASHA1 -b 2048 -n ZONE MITLD
24    KMITLD.+005+52159
25
264. Let's look at the keys:
27
28    # ls -l KMITLD.+005+5*
29    -rw-r--r--  1 root  wheel   203 Nov 29 00:07 KMITLD.+005+51333.key
30    -rw-------  1 root  wheel   937 Nov 29 00:07 KMITLD.+005+51333.private
31    -rw-r--r--  1 root  wheel   247 Nov 29 00:07 KMITLD.+005+52159.key
32    -rw-------  1 root  wheel  1125 Nov 29 00:07 KMITLD.+005+52159.private
33
345. Agregue las claves pœblicas en la zona:
35
36    Edite el fichero de zona "MITLD" y agregue las claves al final:
37
38    ; Claves para publicar como records DNSKEY
39
40    $include "/etc/namedb/keys/KMITLD.+005+51333.key"     ; ZSK
41    $include "/etc/namedb/keys/KMITLD.+005+52159.key"     ; KSK
42       
43    Incremente el nœmero de serie
44
45    Grabe y salga.
46
476. Firme la zona con las claves:
48
49    # cd /etc/namedb/keys
50    # dnssec-signzone -o MITLD -k KMITLD.+005+52159 ../master/MITLD KMITLD.+005+51333
51    Verifying the zone using the following algorithms: RSASHA1.
52    Zone signing complete:
53    Algorithm: RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked
54                        ZSKs: 1 active, 0 stand-by, 0 revoked
55    MITLD.signed
56
57    La copia firmada se ha guardado en el directorio master/, as’ que vamos
58    a mirarla:
59
60    # cd /etc/namedb/master/
61    # ls -l MITLD*
62
63    -rw-r--r--  1 root  wheel   292 Nov 29 00:08 MITLD
64    -rw-r--r--  1 root  wheel  4294 Nov 29 00:20 MITLD.signed
65
66    Eche un vistazo al contenido de la zona, y observe los nuevos records.
67
687. Note que se ha generado una lista de records DS, y Žstos est‡n listos
69   para enviar a la zona superior:
70
71    # cd /etc/namedb/keys/
72    # ls -l dsset-*
73
74    -rw-r--r--  1 root  wheel  155 Nov 29 00:22 dsset-MITLD.
75
76   Mire el contenido del dsset:
77
78    # cat dsset-MITLD.
79
808. En /etc/namedb/named.conf cambie la definici—n de la zona para apuntar
81   al fichero nuevo:
82
83    zone "MITLD" {
84            type master;
85            file "/etc/namedb/master/MITLD.signed"; // cargar la zona firmada
86    };
87
889. TambiŽn, en named.conf, active DNSSEC (para la parte autorizada):
89
90    ... En la secci—n options { .. }; agregue:
91
92    dnssec-enable yes;
93
9410. Reconfigure o reinicie BIND:
95
96    # rndc reconfig
97
9811. Pruebe que el servidor est‡ respondiendo con rŽcords DNSSEC:
99
100    # dig @127.0.0.1 MITLD SOA +dnssec
101
10212. Ahora deber’a revisar que su esclavo TAMBIEN ha configurado su servidor
103    para habilitar DNSSEC (paso 8). Deber’an haberlo hecho porque est‡n
104    trabajando en el mismo ejercicio, pero compruebe de todas formas!
105
106    Para probar:
107
108    # dig @10.10.Y.1 MITLD SOA +dnssec
109
110    ... donde Y es el grupo donde se encuentra el servidor esclavo.
111
11213. Ahora debe enviar el DS a su dominio superior
113
114   Pregunte al administrador del ra’z sobre c—mo transferir el record DS.
115   Podr’a ser usando SCP o un formulario web con SSL.
116
117   Si el administrador del ra’z le indica usar SCP, haga lo siguiente:
118
119   # cd /etc/namedb/keys
120   # scp dsset-MITLD. adm@a.root-servers.net:
121
122   ... Esto copiar‡ el fichero "dsset-MITLD." en el directorio de usuario "adm"
123   del servidor a.root-server, donde el administrador lo incluir‡ en la zona
124   ra’z para despuŽs firmar.
125
12614. Pruebe que el bit AD est‡ activado:
127
128    # dig @10.10.0.230 +dnssec www.MITLD.
129
130    Lo est‡ ?
131
132    Si no, puede que el administrador del ra’z no haya firmado la zona ra’z
133    con sus DS incluidos todav’a, O que por causa del *negative TTL*, puede
134    que el record DS no estŽ aœn en la cachŽ del resolver. Puede que tenga,
135    que esperar, pero confirme con el administrador del ra’z, y en cualquier
136    caso, puede comprobar en el ra’z directamente:
137
138    # dig @a.root-servers.net DS MITLD.
139
140    ... que el rŽcord DS est‡ publicado. Entonces es cuesti—n de esperar que
141    la cachŽ caduque en el resolver para poder comprobar sus firmas.