DNS: Difference between revisions

From Elch-Wiki
Jump to navigationJump to search
No edit summary
No edit summary
Line 35: Line 35:


= Offenen DNS-Resolver von trash.net nutzen =
= Offenen DNS-Resolver von trash.net nutzen =
trash.net betreibt für seine Mitglieder einen offenen DNS-Resolver der auch DNSSEC-fähig ist. Dieser kann unter Linux mittels
Siehe Artikel auf trash.net
 
<pre>
# dnssec3.trash.net
nameserver 213.144.137.36
</pre>
 
in /etc/resolv.conf eingetragen werden.
Damit der Resolver nicht misbraucht wird, muss man seine IP für diesen Dienst freischalten. Dies geschieht durch einen Aufruf der URL [https://your.trash.net/cgi-bin/update-dnssec3.cgi]. Der Zugriff auf diese URL ist durch eine Authentisierung (trash.net Username und Passwort) geschützt. Die IP-Adresse des Aufrufers (funktioniert sowohl für IPv4 als auch IPv6!) wird dann beim nächsten Refresh der Berechtigungen (alle 4h) freigeschaltet.




= Key Rollover: Step by Step Anleitung =
= Key Rollover: Step by Step Anleitung =
# Ankündigung von Techstaff, dass Key-Rollover gemacht wird. Bekanntgabe des Zeitpunkts an welchem bei Switch der neue Key bestätigt werden muss (Beispiel-Mail s. unten).
Siehe Artiekl auf trahs.net
# Login auf https://www.nic.ch/
# Die zu bearbeitende Domain auswählen (Schloss beim Status) [[File:Dnssec_key_rollover_1.png]]
# Auf den Button DNSSEC klicken [[File:Dnssec_key_rollover_2.png]]
# Option "DNSSEC aktivieren, Schlüssel ändern" auswählen und "Weiter" klicken [[File:Dnssec_key_rollover_3.png]]
# Den alten Key abwählen, den neuen anwählen [[File:Dnssec_key_rollover_4.png]]
# Zusammenfassung mit "Speichern" abschliesen [[File:Dnssec_key_rollover_5.png]]
# Rückmeldung an Techstaff dass der Keywechsel gemacht wurde.
 
== Beispiel-Mail Ankündigung Key Rollover ==
Hallo Roman,
 
die Lebenszeit des KSK (Key Signing Keys) - 1 Jahr - ist abgelaufen. Ich
habe deshalb einen Key-Rollover gestartet.
 
Im ersten Schritt ist der neue KSK mit der ID xxxx erzeugt worden. Der alte
hat die ID yyy. Wir müssen jetzt warten, bis der neue Key in der Zone als
Eintrag geladen und verbreitet ist. Dann leite ich den zweiten Schritt ein.
 
Im zweiten Schritt wird auch der neue KSK für das Signing des ZSK verwendet.
Dann musst du warten bis der DS bei Switch den neuen Key enthält und dann
musst du statt des alten KSK den neuen KSK auswählen.
 
Im dritten Schritt wird der alte KSK in der Zone gelöscht und wird dann
nicht mehr für Signing des ZSK verwendet.
 
Ich gebe dir wieder Bescheid, wenn ich den zweiten Schritt eingeleitet habe
(heute oder morgen). Du solltest in der Zwischenzeit sicherstellen, dass du
Zugang zum Switch-Portal hast um die Änderung durchführen zu können.
 
Gruss, Othmar
 
== Beispiel-Mail Key-Rollover beim Registrat auslösen ==
Hallo Roman,
 
Es ist jetzt soweit, du solltest jetzt auf den neuen KSK wechseln.
 
Es ist tatsächlich nicht ganz trivial den entsprechenden Bearbeitungsweg zu
finden. Besonders wenn man es nur einmal im Jahr machen muss. Klar ist, dass
es zuerst die Zone ausgewählt werden muss um sie anschliessend zu
bearbeiten. Im nächsten Screen gibt es den Button "DNSSEC" und danach kann
man sich entscheiden, DNSSEC ganz zu deaktivieren oder eben die Schlüssel zu
ändern. Während des Rollovers müsste man dann zwei zur Auswahl haben, wo man
dann den neuen auswählen sollte. Dieser Schritt muss unbedingt passieren,
bevor der alte Schlüssel in der Zone selbst nicht mehr verwendet wird, sonst
gibt es keine vertrauenswürdige Kette mehr.
 
Gruss, Othmar

Revision as of 17:05, 10 May 2014

DNS auf trash.net hosten

  • Es gibt zwei unterschiedliche DNS-Server auf trash.net: DJBDNS und BIND
  • Falls DNSSEC gewünscht wird, dann muss BIND verwendet werden
  • Je nach gewähltem DNS-Server muss ein Zone-File erstellt werden
  • Falls ein dynamischer Update der IP-Adresse im Stil von dyndns gewünscht wird: Dynamic DNS
  • Kontakt mit techstaff@trash.net aufnehmen und Hosting der Domain beantragen. Dazu das Zone-File mitgeben
  • Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
  • Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
  • Zusätzliche DNS Records (z.b. für einen zus. Host oder eine zus. IP): /var/named/mybabey.ch/zone.db editieren


Sample Zone-File

$TTL 3600
mybabey.ch.		2560	IN	SOA	dnssec1.trash.net. hostmaster.mybabey.ch. (
						2011050301 ; serial
						16384
						2048
						1048576
						2560
						)
mybabey.ch.		259200	IN	NS	dnssec1.trash.net.
mybabey.ch.		259200	IN	NS	dnssec2.trash.net.
mybabey.ch.		86400	IN	MX	10 mybabey.ch.
mybabey.ch.		300	IN	A	217.162.73.239
ftp.mybabey.ch.		86400	IN	CNAME	mybabey.ch.
www.mybabey.ch.		86400	IN	CNAME	mybabey.ch.
$include dnskey.db


Offenen DNS-Resolver von trash.net nutzen

Siehe Artikel auf trash.net


Key Rollover: Step by Step Anleitung

Siehe Artiekl auf trahs.net

Retrieved from "https://mybabey.ch/wiki/index.php?title=DNS&oldid=3647"