На главную страницу  
+7 (499) 124-62-26
О компании Продукты Решения Скачать Купить Цены Контакты
КриптоПакет
OpenVPN-ГОСТ
КриптоТуннель

МагПро DNS.

Подисание зон с использованием утилиты signzone


Установка

Установка ldns-signzone описана на странице:
Установка и настройка Unbound+LDNS+NSD


Подготовка

Для выполнения операции подписи зон мы рекомендуем создать отдельную поддиректорию, например «zone-dnssec», в рабочей директории NSD. Мы рекомендуем назначить «root» владельцем директории, установить для директории такую же группу, как у пользователя, от имени которого будет запускаться NSD, и установить права чтения/записи/исполнения 750, скопировать зоны в данную директорию и все дальнейшие операции производить в ней.


Генерация ключей

  1. Чтобы сгенерировать ключ KSK для зоны 'example.com', используйте команду: 

    $ /usr/local/bin/ldns-keygen -a ECC-GOST -k example.com

    После выполнения команды также будет создана DS-запись для этого ключа.

  2. Чтобы сгенерировать ключ ZSK для зоны 'example.com', используйте команду: 

    $ /usr/local/bin/ldns-keygen -a ECC-GOST example.com

    После выполнения команды также будет создана DS-запись для этого ключа.

    Ключи ZSK и KSK можно отличить друг от друга, просмотрев публичную часть ключа (например командой $ cat Kexample.com.+012+YYYYY.key). Отличить их можно по коду после записи «IN DNSKEY»:

    256 — ZSK
    257 — KSK

    example.com. IN DNSKEY 256 3 12 4/M4Fhcg0B56sRFrnDnprJhfvnA77uNleBtGSH+jVbl04lbVpOJ9A0qT r+zX6lnEZjqrMAxNNcJ7ZKQ+cp3v9g==

    Также можно проверить номер алгритма по которому сгенерирован ключ: 12 — это GOST.


Подписание зоны

ВНИМАНИЕ: исключите запись $TTL и подобные ей из файла зоны, и добавьте их в подписанный файл позже. ldns-signezone не может парсировать эти записи.
Также увеличьте serial зоны перед операцией подписи

Для того чтобы подписать зону 'example.com', вам необходимо выполнить команду, подобную данной:

$ /usr/local/bin/ldns-signzone example.com Kexample.com.+012+23003 Kexample.com.+012+42920

После выполнения этой команды следует переслать DS-записи администратору вышестоящего домена (только если этот домен поддерживает DNSSEC и будет точкой входа или звеном цепочки доверия).


Обновление базы данных NSD

ВНИМАНИЕ: после изменения файла зоны необходимо обновить базу данных NSD, выполнив комманды:

# nsdc rebuild
# nsdc reload
 
Copyright © ООО "Криптоком". 2001-2024. All Rights Reserved.