Agenda: dnssec-bind-renovacion-zsk-manual.txt

File dnssec-bind-renovacion-zsk-manual.txt, 5.7 KB (added by admin, 7 years ago)
Line 
1Ejercicio de Renovaci—n de clave ZSK Manual
2-------------------------------------------
3
4OBJECTIVO
5
6Vamos a renovar la clave ZSK de la zona que acabamos de firmar.
7IMPORTANTE: POR FAVOR, ANOTE las IDs de las claves KSK/ZSK actuales
8en un papel para saber cu‡l es cual.
9
10RECUERDE
11
12        - Estamos guardando nuestras claves en /etc/named/keys
13
14        - Actualmente tenemos dos pares de claves en este directorio
15          una ZSK y una KSK. Cada par est‡ representado por dos
16          ficheros, uno que acaba en ".key" (la clave pœblica) y otro
17          que acaba en ".private" (la clave privada).
18
19        - Hay un conjunto (RRset) de records DS en el dominio ra’z
20          correspondiente a nuestra KSK
21
22RENOVACIîN (ROLLOVER) DEL ZSK
23
241. Eche un vistazo a las claves que hemos generado. Tome nota de
25los nombres de los ficheros que contienen las ZSK y KSK actuales.
26
27  # cd /etc/namedb/keys/
28  # ls K*
29
302. Genere un nuevo par ZSK, que usaremos para reemplazar el viejo.
31
32  # dnssec-keygen MITLD    <---- Sustituya MITLD con el nombre de su dominio
33
34Asegœrese de que el proceso named pueda leer los ficheros:
35
36  # chown bind K*
37  # chmod u+r K*
38  # ls
39
40Ahora deber’a tener un tercer par de claves en el directorio. Si revisa
41el record DNSKEY, deber’a ver que el campo flags es 256 (porque este es
42un ZSK, no un KSK). Anote el nombre del fichero que contiene la nueva ZSK.
43
443. Eche un vistazo a su conjunto de records DNSKEY
45
46  # dig MITLD dnskey
47
48Su zona deber’a contener un KSK y un ZSK (revise las flags para
49distinguir entre ambos)
50
51Necesitamos a–adir la nueva clave en la zona, para que sea incluida en
52el pr—ximo evento de firmado. Al final del fichero "MITLD", A„ADA la
53nueva clave:
54
55        $include "/etc/namedb/keys/KMITLD.+005+45000.key";
56
57        Incremente el nœmero de serie
58
59        Grabe y salga.
60
614. Vuelva a firmar su zona para que el nuevo ZSK estŽ firmado, pero NO
62   firmaremos usando el nuevo ZSK - s—lo queremos que el nuevo ZSK estŽ
63   firmado por el actual ZSK. Esto se llama "pre-publicaci—n".
64
65  # cd /etc/namedb/keys
66  # dnssec-signzone -o MITLD -k KMITLD.+005+46516 ../master/MITLD KMITLD.+005+36390
67
68  F’jese en el ejemplo anterior que s—lo estamos usando el ZSK actual
69  para firmar, no el nuevo - esto es para asegurarnos de que dnssec-signzone
70  no tratar‡ de firmar con ambos ZSKs. No ser’a una "mala" cosa, pero doblar’a
71  el tama–o de la zona. Esto afecta m‡s que nada a zonas de por s’ muy grandes.
72
73  As’ que decimos a dnssec-signzone exactamente cu‡les claves debe usar
74  al hacer la renovaci—n, PRECISAMENTE para controlar los tiempos en que
75  se introduce una clave, se usa para firmar, y finalmente se retira.
76
77  La salida del comando anterior deber’a ser:
78
79Zone signing complete:
80Algorithm: RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked
81                    ZSKs: 1 active, 1 stand-by, 0 revoked
82MITLD.signed
83
84  F’jese en los ZSKs: 1 active, 1 stand-by
85
865. Veamos quŽ cambios ha causado esto en la zona.
87
88  # rndc reload MITLD
89  # dig MITLD dnskey
90  # dig MITLD dnskey +dnssec
91  # dig MITLD soa +dnssec
92
93Su zona deber’a contener ahora un KSK y dos ZSKs; ambos ZSKs deber’an
94estar presentes en el conjunto DNSKEY, que deber’a estar firmado por
95el KSK.
96
97PERO el rŽcord SOA (y otros conjuntos de records en la zona) deber’an estar
98firmados SOLAMENTE UNA VEZ usando el viejo ZSK. Y el conjunto DNSKEY deber’a
99incluir las 3 claves (1 KSK, 2 ZSKs). Esto se llama "pre-firmado".
100
101A este punto, deber’amos esperar (en principio) 2 x TTL para que ambos ZSKs
102aparezcan en la cachŽ de todo el mundo (por defecto, en nuestro lab, el TTL
103es de 2 minutos, pero esto ser‡ diferente en la pr‡ctica). Pero en fin,
104espere al menos 2 minutos antes de firmar con el nuevo ZSK en lugar del ZSK
105anterior.
106
107Una vez que estemos seguros de que "toda la Internet" (toda la clase)
108puede ver ambas claves, entonces podemos firmar con el nuevo ZSK.
109
110Compruebe la cachŽ usando dig!
111
1126. Firme con el nuevo ZSK.
113
114   Recuerde, tenemos 3 claves. En nuestra zona hay:
115
116                $include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK
117                $include "/etc/namedb/keys/KMITLD.+005+36390.key"; // ZSK a retirar
118                $include "/etc/namedb/keys/KMITLD.+005+45000.key"; // nuevo ZSK
119
120   Incremente el nœmero de serie.       Luego:
121
122   # cd /etc/namedb/keys
123   # dnssec-signzone -o MITLD -k KMITLD.+005+46516 ../master/MITLD KMITLD.+005+45000
124
125... F’jese c—mo ahora usamos 45000 (la segunda ZSK) para firmar, no la 36390.
126
127Ahora, recargue la zona y propague los cambios.
128
129   # rndc reload MITLD
130
131Compruebe con dig, como en el paso 5, que puede ver s—lo UNA firma para
132cada uno de sus RRsets - o sea, que est‡ firmando con UNA sola ZSK. Todav’a
133tiene que esperar a que caduque el TTL antes de quitar la vieja ZSK.
134
1357. Ahora debe comprobar, usando dig, que est‡ firmando con una sola clave
136
137   # dig www.MITLD +dnssec
138
139Pero tambiŽn compruebe que la VIEJA ZSK todav’a est‡ publicada en nuestro
140conjunto DNSKEY:
141
142   # dig MITLD dnskey
143
144Todav’a deber’a ver 3 claves
145
1468. Retire la vieja ZSK.
147
148Luego de esperar al menos 2 minutos (120s), retire la vieja ZSK:
149
150  # cd /etc/namedb/master/
151
152  Edite el fichero de zona y a–ada un signo de comentario (';') en frente de
153  la vieja ZSK (revise de nuevo cu‡l clave es)
154
155
156$include "/etc/namedb/keys/KMITLD.+005+46516.key";      // KSK
157;$include "/etc/namedb/keys/KMITLD.+005+36390.key";     // ZSK (comentada)
158$include "/etc/namedb/keys/KMITLD.+005+45000.key";  // nueva ZSK
159
160  Incremente el nœmero de serie.
161
162  Ahora vuelva a firmar la zona, pero notar‡ que expl’citamente NO indicaremos
163  la ZSK que acabamos de retirar:
164
165  # cd /etc/namedb/keys
166  # dnssec-signzone -o MITLD -k KMITLD.+005+46516 ../master/MITLD KMITLD.+005+45000
167  # rndc reload MITLD
168  # tail /etc/namedb/log/general
169
1709. Igual que en el paso 5, revise que todas las firmas aœn funcionan, y que el viejo
171   ZSK ya no est‡ en el set DNSKEY
172
173   Todav’a funciona su dominio? :)
174