| 1 | *** EN SU SERVIDOR AUTORIZADO *** |
|---|
| 2 | |
|---|
| 3 | 1. Muvase al directorio donde se encuentra la zona, y haga una copia |
|---|
| 4 | de respaldo (asuminedo que se llame "MITLD"), por si acaso |
|---|
| 5 | |
|---|
| 6 | # cd /etc/namedb/master |
|---|
| 7 | # cp MITLD MITLD.backup |
|---|
| 8 | |
|---|
| 9 | Tambin cree un directorio para guardar las claves |
|---|
| 10 | |
|---|
| 11 | # mkdir /etc/namedb/keys |
|---|
| 12 | # chown bind /etc/namedb/keys |
|---|
| 13 | |
|---|
| 14 | # cd /etc/namedb/keys |
|---|
| 15 | |
|---|
| 16 | 2. Genere el primer par de claves (ZSK - Clave para firmar la zona) |
|---|
| 17 | |
|---|
| 18 | # dnssec-keygen -a RSASHA1 -b 1024 -n ZONE MITLD |
|---|
| 19 | KMITLD.+005+51333 |
|---|
| 20 | |
|---|
| 21 | 3. Genere el segundo par (KSK - Clave para firmar la otra clave) |
|---|
| 22 | |
|---|
| 23 | # dnssec-keygen -f KSK -a RSASHA1 -b 2048 -n ZONE MITLD |
|---|
| 24 | KMITLD.+005+52159 |
|---|
| 25 | |
|---|
| 26 | 4. Let's look at the keys: |
|---|
| 27 | |
|---|
| 28 | # ls -l KMITLD.+005+5* |
|---|
| 29 | -rw-r--r-- 1 root wheel 203 Nov 29 00:07 KMITLD.+005+51333.key |
|---|
| 30 | -rw------- 1 root wheel 937 Nov 29 00:07 KMITLD.+005+51333.private |
|---|
| 31 | -rw-r--r-- 1 root wheel 247 Nov 29 00:07 KMITLD.+005+52159.key |
|---|
| 32 | -rw------- 1 root wheel 1125 Nov 29 00:07 KMITLD.+005+52159.private |
|---|
| 33 | |
|---|
| 34 | 5. Agregue las claves pblicas en la zona: |
|---|
| 35 | |
|---|
| 36 | Edite el fichero de zona "MITLD" y agregue las claves al final: |
|---|
| 37 | |
|---|
| 38 | ; Claves para publicar como records DNSKEY |
|---|
| 39 | |
|---|
| 40 | $include "/etc/namedb/keys/KMITLD.+005+51333.key" ; ZSK |
|---|
| 41 | $include "/etc/namedb/keys/KMITLD.+005+52159.key" ; KSK |
|---|
| 42 | |
|---|
| 43 | Incremente el nmero de serie |
|---|
| 44 | |
|---|
| 45 | Grabe y salga. |
|---|
| 46 | |
|---|
| 47 | 6. Firme la zona con las claves: |
|---|
| 48 | |
|---|
| 49 | # cd /etc/namedb/keys |
|---|
| 50 | # dnssec-signzone -o MITLD -k KMITLD.+005+52159 ../master/MITLD KMITLD.+005+51333 |
|---|
| 51 | Verifying the zone using the following algorithms: RSASHA1. |
|---|
| 52 | Zone signing complete: |
|---|
| 53 | Algorithm: RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked |
|---|
| 54 | ZSKs: 1 active, 0 stand-by, 0 revoked |
|---|
| 55 | MITLD.signed |
|---|
| 56 | |
|---|
| 57 | La copia firmada se ha guardado en el directorio master/, as que vamos |
|---|
| 58 | a mirarla: |
|---|
| 59 | |
|---|
| 60 | # cd /etc/namedb/master/ |
|---|
| 61 | # ls -l MITLD* |
|---|
| 62 | |
|---|
| 63 | -rw-r--r-- 1 root wheel 292 Nov 29 00:08 MITLD |
|---|
| 64 | -rw-r--r-- 1 root wheel 4294 Nov 29 00:20 MITLD.signed |
|---|
| 65 | |
|---|
| 66 | Eche un vistazo al contenido de la zona, y observe los nuevos records. |
|---|
| 67 | |
|---|
| 68 | 7. Note que se ha generado una lista de records DS, y stos estn listos |
|---|
| 69 | para enviar a la zona superior: |
|---|
| 70 | |
|---|
| 71 | # cd /etc/namedb/keys/ |
|---|
| 72 | # ls -l dsset-* |
|---|
| 73 | |
|---|
| 74 | -rw-r--r-- 1 root wheel 155 Nov 29 00:22 dsset-MITLD. |
|---|
| 75 | |
|---|
| 76 | Mire el contenido del dsset: |
|---|
| 77 | |
|---|
| 78 | # cat dsset-MITLD. |
|---|
| 79 | |
|---|
| 80 | 8. En /etc/namedb/named.conf cambie la definicin de la zona para apuntar |
|---|
| 81 | al fichero nuevo: |
|---|
| 82 | |
|---|
| 83 | zone "MITLD" { |
|---|
| 84 | type master; |
|---|
| 85 | file "/etc/namedb/master/MITLD.signed"; // cargar la zona firmada |
|---|
| 86 | }; |
|---|
| 87 | |
|---|
| 88 | 9. Tambin, en named.conf, active DNSSEC (para la parte autorizada): |
|---|
| 89 | |
|---|
| 90 | ... En la seccin options { .. }; agregue: |
|---|
| 91 | |
|---|
| 92 | dnssec-enable yes; |
|---|
| 93 | |
|---|
| 94 | 10. Reconfigure o reinicie BIND: |
|---|
| 95 | |
|---|
| 96 | # rndc reconfig |
|---|
| 97 | |
|---|
| 98 | 11. Pruebe que el servidor est respondiendo con rcords DNSSEC: |
|---|
| 99 | |
|---|
| 100 | # dig @127.0.0.1 MITLD SOA +dnssec |
|---|
| 101 | |
|---|
| 102 | 12. Ahora debera revisar que su esclavo TAMBIEN ha configurado su servidor |
|---|
| 103 | para habilitar DNSSEC (paso 8). Deberan haberlo hecho porque estn |
|---|
| 104 | trabajando en el mismo ejercicio, pero compruebe de todas formas! |
|---|
| 105 | |
|---|
| 106 | Para probar: |
|---|
| 107 | |
|---|
| 108 | # dig @10.10.Y.1 MITLD SOA +dnssec |
|---|
| 109 | |
|---|
| 110 | ... donde Y es el grupo donde se encuentra el servidor esclavo. |
|---|
| 111 | |
|---|
| 112 | 13. Ahora debe enviar el DS a su dominio superior |
|---|
| 113 | |
|---|
| 114 | Pregunte al administrador del raz sobre cmo transferir el record DS. |
|---|
| 115 | Podra ser usando SCP o un formulario web con SSL. |
|---|
| 116 | |
|---|
| 117 | Si el administrador del raz le indica usar SCP, haga lo siguiente: |
|---|
| 118 | |
|---|
| 119 | # cd /etc/namedb/keys |
|---|
| 120 | # scp dsset-MITLD. adm@a.root-servers.net: |
|---|
| 121 | |
|---|
| 122 | ... Esto copiar el fichero "dsset-MITLD." en el directorio de usuario "adm" |
|---|
| 123 | del servidor a.root-server, donde el administrador lo incluir en la zona |
|---|
| 124 | raz para despus firmar. |
|---|
| 125 | |
|---|
| 126 | 14. Pruebe que el bit AD est activado: |
|---|
| 127 | |
|---|
| 128 | # dig @10.10.0.230 +dnssec www.MITLD. |
|---|
| 129 | |
|---|
| 130 | Lo est ? |
|---|
| 131 | |
|---|
| 132 | Si no, puede que el administrador del raz no haya firmado la zona raz |
|---|
| 133 | con sus DS incluidos todava, O que por causa del *negative TTL*, puede |
|---|
| 134 | que el record DS no est an en la cach del resolver. Puede que tenga, |
|---|
| 135 | que esperar, pero confirme con el administrador del raz, y en cualquier |
|---|
| 136 | caso, puede comprobar en el raz directamente: |
|---|
| 137 | |
|---|
| 138 | # dig @a.root-servers.net DS MITLD. |
|---|
| 139 | |
|---|
| 140 | ... que el rcord DS est publicado. Entonces es cuestin de esperar que |
|---|
| 141 | la cach caduque en el resolver para poder comprobar sus firmas. |
|---|