DNS: Difference between revisions

From Elch-Wiki
Jump to navigationJump to search
No edit summary
No edit summary
Line 10: Line 10:
* Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
* Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
* Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
* Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
* Zusätzliche DNS Records (z.b. für einen zus. Host oder eine zus. IP): /var/named/mybabey.ch/zone.db editieren




Revision as of 11:07, 25 August 2013

DNS auf trash.net hosten

  • Es gibt zwei unterschiedliche DNS-Server auf trash.net: DJBDNS und BIND
  • Falls DNSSEC gewünscht wird, dann muss BIND verwendet werden
  • Je nach gewähltem DNS-Server muss ein Zone-File erstellt werden
  • Falls ein dynamischer Update der IP-Adresse im Stil von dyndns gewünscht wird: Dynamic DNS
  • Kontakt mit techstaff@trash.net aufnehmen und Hosting der Domain beantragen. Dazu das Zone-File mitgeben
  • Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
  • Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
  • Zusätzliche DNS Records (z.b. für einen zus. Host oder eine zus. IP): /var/named/mybabey.ch/zone.db editieren


Sample Zone-File

$TTL 3600
mybabey.ch.		2560	IN	SOA	dnssec1.trash.net. hostmaster.mybabey.ch. (
						2011050301 ; serial
						16384
						2048
						1048576
						2560
						)
mybabey.ch.		259200	IN	NS	dnssec1.trash.net.
mybabey.ch.		259200	IN	NS	dnssec2.trash.net.
mybabey.ch.		86400	IN	MX	10 mybabey.ch.
mybabey.ch.		300	IN	A	217.162.73.239
ftp.mybabey.ch.		86400	IN	CNAME	mybabey.ch.
www.mybabey.ch.		86400	IN	CNAME	mybabey.ch.
$include dnskey.db


Offenen DNS-Resolver von trash.net nutzen

trash.net betreibt für seine Mitglieder einen offenen DNS-Resolver der auch DNSSEC-fähig ist. Dieser kann unter Linux mittels 

# dnssec3.trash.net
nameserver 213.144.137.36

in /etc/resolv.conf eingetragen werden. Damit der Resolver nicht misbraucht wird, muss man seine IP für diesen Dienst freischalten. Dies geschieht durch einen Aufruf der URL [1]. Der Zugriff auf diese URL ist durch eine Authentisierung (trash.net Username und Passwort) geschützt. Die IP-Adresse des Aufrufers (funktioniert sowohl für IPv4 als auch IPv6!) wird dann beim nächsten Refresh der Berechtigungen (alle 4h) freigeschaltet.


Key Rollover: Step by Step Anleitung

  1. Ankündigung von Techstaff, dass Key-Rollover gemacht wird. Bekanntgabe des Zeitpunkts an welchem bei Switch der neue Key bestätigt werden muss (Beispiel-Mail s. unten).
  2. Login auf https://www.nic.ch/
  3. Die zu bearbeitende Domain auswählen (Schloss beim Status)
  4. Auf den Button DNSSEC klicken
  5. Option "DNSSEC aktivieren, Schlüssel ändern" auswählen und "Weiter" klicken
  6. Den alten Key abwählen, den neuen anwählen
  7. Zusammenfassung mit "Speichern" abschliesen
  8. Rückmeldung an Techstaff dass der Keywechsel gemacht wurde.

Beispiel-Mail Ankündigung Key Rollover

Hallo Roman,

die Lebenszeit des KSK (Key Signing Keys) - 1 Jahr - ist abgelaufen. Ich habe deshalb einen Key-Rollover gestartet.

Im ersten Schritt ist der neue KSK mit der ID xxxx erzeugt worden. Der alte hat die ID yyy. Wir müssen jetzt warten, bis der neue Key in der Zone als Eintrag geladen und verbreitet ist. Dann leite ich den zweiten Schritt ein.

Im zweiten Schritt wird auch der neue KSK für das Signing des ZSK verwendet. Dann musst du warten bis der DS bei Switch den neuen Key enthält und dann musst du statt des alten KSK den neuen KSK auswählen.

Im dritten Schritt wird der alte KSK in der Zone gelöscht und wird dann nicht mehr für Signing des ZSK verwendet.

Ich gebe dir wieder Bescheid, wenn ich den zweiten Schritt eingeleitet habe (heute oder morgen). Du solltest in der Zwischenzeit sicherstellen, dass du Zugang zum Switch-Portal hast um die Änderung durchführen zu können.

Gruss, Othmar

Beispiel-Mail Key-Rollover beim Registrat auslösen

Hallo Roman,

Es ist jetzt soweit, du solltest jetzt auf den neuen KSK wechseln.

Es ist tatsächlich nicht ganz trivial den entsprechenden Bearbeitungsweg zu finden. Besonders wenn man es nur einmal im Jahr machen muss. Klar ist, dass es zuerst die Zone ausgewählt werden muss um sie anschliessend zu bearbeiten. Im nächsten Screen gibt es den Button "DNSSEC" und danach kann man sich entscheiden, DNSSEC ganz zu deaktivieren oder eben die Schlüssel zu ändern. Während des Rollovers müsste man dann zwei zur Auswahl haben, wo man dann den neuen auswählen sollte. Dieser Schritt muss unbedingt passieren, bevor der alte Schlüssel in der Zone selbst nicht mehr verwendet wird, sonst gibt es keine vertrauenswürdige Kette mehr.

Gruss, Othmar

Retrieved from "https://mybabey.ch/wiki/index.php?title=DNS&oldid=3487"