1 | *** EN SU SERVIDOR AUTORIZADO *** |
---|
2 | |
---|
3 | 1. Muvase al directorio donde se encuentra la zona, y haga una copia |
---|
4 | de respaldo (asuminedo que se llame "MITLD"), por si acaso |
---|
5 | |
---|
6 | # cd /etc/namedb/master |
---|
7 | # cp MITLD MITLD.backup |
---|
8 | |
---|
9 | Tambin cree un directorio para guardar las claves |
---|
10 | |
---|
11 | # mkdir /etc/namedb/keys |
---|
12 | # chown bind /etc/namedb/keys |
---|
13 | |
---|
14 | # cd /etc/namedb/keys |
---|
15 | |
---|
16 | 2. Genere el primer par de claves (ZSK - Clave para firmar la zona) |
---|
17 | |
---|
18 | # dnssec-keygen -a RSASHA1 -b 1024 -n ZONE MITLD |
---|
19 | KMITLD.+005+51333 |
---|
20 | |
---|
21 | 3. Genere el segundo par (KSK - Clave para firmar la otra clave) |
---|
22 | |
---|
23 | # dnssec-keygen -f KSK -a RSASHA1 -b 2048 -n ZONE MITLD |
---|
24 | KMITLD.+005+52159 |
---|
25 | |
---|
26 | 4. Let's look at the keys: |
---|
27 | |
---|
28 | # ls -l KMITLD.+005+5* |
---|
29 | -rw-r--r-- 1 root wheel 203 Nov 29 00:07 KMITLD.+005+51333.key |
---|
30 | -rw------- 1 root wheel 937 Nov 29 00:07 KMITLD.+005+51333.private |
---|
31 | -rw-r--r-- 1 root wheel 247 Nov 29 00:07 KMITLD.+005+52159.key |
---|
32 | -rw------- 1 root wheel 1125 Nov 29 00:07 KMITLD.+005+52159.private |
---|
33 | |
---|
34 | 5. Agregue las claves pblicas en la zona: |
---|
35 | |
---|
36 | Edite el fichero de zona "MITLD" y agregue las claves al final: |
---|
37 | |
---|
38 | ; Claves para publicar como records DNSKEY |
---|
39 | |
---|
40 | $include "/etc/namedb/keys/KMITLD.+005+51333.key" ; ZSK |
---|
41 | $include "/etc/namedb/keys/KMITLD.+005+52159.key" ; KSK |
---|
42 | |
---|
43 | Incremente el nmero de serie |
---|
44 | |
---|
45 | Grabe y salga. |
---|
46 | |
---|
47 | 6. Firme la zona con las claves: |
---|
48 | |
---|
49 | # cd /etc/namedb/keys |
---|
50 | # dnssec-signzone -o MITLD -k KMITLD.+005+52159 ../master/MITLD KMITLD.+005+51333 |
---|
51 | Verifying the zone using the following algorithms: RSASHA1. |
---|
52 | Zone signing complete: |
---|
53 | Algorithm: RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked |
---|
54 | ZSKs: 1 active, 0 stand-by, 0 revoked |
---|
55 | MITLD.signed |
---|
56 | |
---|
57 | La copia firmada se ha guardado en el directorio master/, as que vamos |
---|
58 | a mirarla: |
---|
59 | |
---|
60 | # cd /etc/namedb/master/ |
---|
61 | # ls -l MITLD* |
---|
62 | |
---|
63 | -rw-r--r-- 1 root wheel 292 Nov 29 00:08 MITLD |
---|
64 | -rw-r--r-- 1 root wheel 4294 Nov 29 00:20 MITLD.signed |
---|
65 | |
---|
66 | Eche un vistazo al contenido de la zona, y observe los nuevos records. |
---|
67 | |
---|
68 | 7. Note que se ha generado una lista de records DS, y stos estn listos |
---|
69 | para enviar a la zona superior: |
---|
70 | |
---|
71 | # cd /etc/namedb/keys/ |
---|
72 | # ls -l dsset-* |
---|
73 | |
---|
74 | -rw-r--r-- 1 root wheel 155 Nov 29 00:22 dsset-MITLD. |
---|
75 | |
---|
76 | Mire el contenido del dsset: |
---|
77 | |
---|
78 | # cat dsset-MITLD. |
---|
79 | |
---|
80 | 8. En /etc/namedb/named.conf cambie la definicin de la zona para apuntar |
---|
81 | al fichero nuevo: |
---|
82 | |
---|
83 | zone "MITLD" { |
---|
84 | type master; |
---|
85 | file "/etc/namedb/master/MITLD.signed"; // cargar la zona firmada |
---|
86 | }; |
---|
87 | |
---|
88 | 9. Tambin, en named.conf, active DNSSEC (para la parte autorizada): |
---|
89 | |
---|
90 | ... En la seccin options { .. }; agregue: |
---|
91 | |
---|
92 | dnssec-enable yes; |
---|
93 | |
---|
94 | 10. Reconfigure o reinicie BIND: |
---|
95 | |
---|
96 | # rndc reconfig |
---|
97 | |
---|
98 | 11. Pruebe que el servidor est respondiendo con rcords DNSSEC: |
---|
99 | |
---|
100 | # dig @127.0.0.1 MITLD SOA +dnssec |
---|
101 | |
---|
102 | 12. Ahora debera revisar que su esclavo TAMBIEN ha configurado su servidor |
---|
103 | para habilitar DNSSEC (paso 8). Deberan haberlo hecho porque estn |
---|
104 | trabajando en el mismo ejercicio, pero compruebe de todas formas! |
---|
105 | |
---|
106 | Para probar: |
---|
107 | |
---|
108 | # dig @10.10.Y.1 MITLD SOA +dnssec |
---|
109 | |
---|
110 | ... donde Y es el grupo donde se encuentra el servidor esclavo. |
---|
111 | |
---|
112 | 13. Ahora debe enviar el DS a su dominio superior |
---|
113 | |
---|
114 | Pregunte al administrador del raz sobre cmo transferir el record DS. |
---|
115 | Podra ser usando SCP o un formulario web con SSL. |
---|
116 | |
---|
117 | Si el administrador del raz le indica usar SCP, haga lo siguiente: |
---|
118 | |
---|
119 | # cd /etc/namedb/keys |
---|
120 | # scp dsset-MITLD. adm@a.root-servers.net: |
---|
121 | |
---|
122 | ... Esto copiar el fichero "dsset-MITLD." en el directorio de usuario "adm" |
---|
123 | del servidor a.root-server, donde el administrador lo incluir en la zona |
---|
124 | raz para despus firmar. |
---|
125 | |
---|
126 | 14. Pruebe que el bit AD est activado: |
---|
127 | |
---|
128 | # dig @10.10.0.230 +dnssec www.MITLD. |
---|
129 | |
---|
130 | Lo est ? |
---|
131 | |
---|
132 | Si no, puede que el administrador del raz no haya firmado la zona raz |
---|
133 | con sus DS incluidos todava, O que por causa del *negative TTL*, puede |
---|
134 | que el record DS no est an en la cach del resolver. Puede que tenga, |
---|
135 | que esperar, pero confirme con el administrador del raz, y en cualquier |
---|
136 | caso, puede comprobar en el raz directamente: |
---|
137 | |
---|
138 | # dig @a.root-servers.net DS MITLD. |
---|
139 | |
---|
140 | ... que el rcord DS est publicado. Entonces es cuestin de esperar que |
---|
141 | la cach caduque en el resolver para poder comprobar sus firmas. |
---|