У Вас устаревшая версия браузера. Скачайте современный Firefox, Chrome, Opera или Яндекс браузер для комфортного просмотра!
√ Программы,
√ Сайты, √ Библиотеки
√ Хостинг, √ Домены
ООО МааСофтваре
+7(999)633-15-17
support@maasoftware.ru
DNSSEC в bind в Debian Linux при работе с регистратором доменных имён www.webnames.ru
/ Помощь - FAQ
Для настройки bind в Debian Linux (9-10) создаём директорию
# mkdir /etc/bind/keys/
Для домена domain.ru создаём ключи:
# d8="domain.ru" # международное имя домена, например, "домен.рф"
# e8="domain.ru" # имя домена в кодировке punycode
# dnsvar="/var/named/" # zone folder
# dnskeys="/etc/bind/keys/" # keys folder
# cd "$dnskeys"
# rm -f "$dnskeys"K"$e8".* $dnsvar"$d8".jbk $dnsvar"$d8".jnl $dnsvar"$d8".signed $dnsvar"$d8".signed.jnl
# dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE -r /dev/urandom "$e8"
# dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -r /dev/urandom "$e8"
chown bind:bind "$dnskeys"K"$e8".*
chmod 640 "$dnskeys"K"$e8".*
/etc/bind/named.conf.options должен включать:
dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside no;
Из /etc/bind/named.conf включается
include "/etc/bind/my_dns_zones.conf";
с информацией по доменной зоне:
zone "domain.ru" {
type master;
file "/var/named/domain.ru";
allow-transfer { 200.0.0.1; 220.0.0.2; } ;
inline-signing yes;
auto-dnssec maintain;
};
где 200.0.0.1; 220.0.0.2 - IP адреса своего dns сервера (primary и secondary)
# /etc/init.d/bind9 reload
На этом настройка нашего dns сервера для поддержки dnssec для домена domain.ru завершена, переходим к основному - как избежать граблей в настройке dnssec на стороне регистратора www.webnames.ru.

Нам всего-то нужно включить dnssec для домена и прописать DS-запись на dns сервера зоны .ru.

Внимание! Если вы только что зарегистрировали свой домен domain.ru, этого сразу делать нельзя - нужно подождать несколько часов, пока домен пропишется в dns зоны .ru.

Заходим в свойства домена domain.ru, устанавливаем флаг DNSSEC:

Переходим в настройку Delegation signer, указываем данные обоих ключей:
В форме указываем Key Tag - номер ключа (для четырёхзначных номеров я указывал в начале незначащий ноль, как на скриншоте), Flags - 257 для ключа, подписывающего ключ зоны вашего домена, 256 - для ключа зоны вашего домена, Algorithm и Digest Type, как на рисунке, Digest из вывода
# dig dnskey $e8 | dnssec-dsfromkey -A -2 -f - $e8
Копируем Public Key из
# cat "/etc/bind/keys/K""$e8"*.key
- вместе с пробелами, использующимися для ограничения длины записи в dns.

Внимание! Если после этого в течение суток dnssec для вашей зоны не заработает (например, если вы стали настраивать dnssec и ds сразу после регистрации домена), придётся повторно генерировать ключи, удаляя старые, которые бесполезно будет пытаться повторно указать в Delegation signer на сайте регистратора. Обычно, DS прописывается более, чем за час. Для последнего домена убедился, что dnssec настроен и работает правильно через 3 часа после внесения изменений в Delegation signer.

Проверить работу dnssec можно, например, так:
# dig @8.8.8.8 -t ds $e8
Или, чтобы не получать кешированный ответ, прямым обращением к dns зоны .ru:
# dig @a.dns.ripn.net -t ds $e8 +norecurse
Зоны .com:
# dig @a.gtld-servers.net -t ds $e8 +norecurse
и так:
# delv @8.8.8.8 $e8 +multiline +rtrace
А также на сайте https://dnsviz.net/

По данным техподдержки webnames.ru, они поддерживают dnssec для для следующих доменов: com net org info name su ru cc tv ws me рф la voting.

6 января 2020 года, понедельник,
Автор: ООО МааСофтваре
 
Помощь - FAQ

Рейтинг:

Назад  Наверх

/ Помощь - FAQ
Пользователь
Поделиться
  0  0
Новости
[...] Архив новостей.
Сейчас на сайте
Гостей: 1
Пользователей: 0
Роботов: 4
Всего пользователей: 32
Other resources
Copyright © 2012-2020 ООО МааСофтваре   
Посетителей сегодня: 1, всего: 15, максимально: 2, начиная с 6.01.2020, вы просматриваете эту страницу 1 раз(а). Заходите ещё!!!