|
|
| Line 35: |
Line 35: |
|
| |
|
| = Offenen DNS-Resolver von trash.net nutzen = | | = Offenen DNS-Resolver von trash.net nutzen = |
| trash.net betreibt für seine Mitglieder einen offenen DNS-Resolver der auch DNSSEC-fähig ist. Dieser kann unter Linux mittels
| | Siehe Artikel auf trash.net |
| | |
| <pre>
| |
| # dnssec3.trash.net
| |
| nameserver 213.144.137.36
| |
| </pre>
| |
| | |
| in /etc/resolv.conf eingetragen werden.
| |
| Damit der Resolver nicht misbraucht wird, muss man seine IP für diesen Dienst freischalten. Dies geschieht durch einen Aufruf der URL [https://your.trash.net/cgi-bin/update-dnssec3.cgi]. Der Zugriff auf diese URL ist durch eine Authentisierung (trash.net Username und Passwort) geschützt. Die IP-Adresse des Aufrufers (funktioniert sowohl für IPv4 als auch IPv6!) wird dann beim nächsten Refresh der Berechtigungen (alle 4h) freigeschaltet.
| |
|
| |
|
|
| |
|
| = Key Rollover: Step by Step Anleitung = | | = Key Rollover: Step by Step Anleitung = |
| # Ankündigung von Techstaff, dass Key-Rollover gemacht wird. Bekanntgabe des Zeitpunkts an welchem bei Switch der neue Key bestätigt werden muss (Beispiel-Mail s. unten).
| | Siehe Artiekl auf trahs.net |
| # Login auf https://www.nic.ch/
| |
| # Die zu bearbeitende Domain auswählen (Schloss beim Status) [[File:Dnssec_key_rollover_1.png]]
| |
| # Auf den Button DNSSEC klicken [[File:Dnssec_key_rollover_2.png]]
| |
| # Option "DNSSEC aktivieren, Schlüssel ändern" auswählen und "Weiter" klicken [[File:Dnssec_key_rollover_3.png]]
| |
| # Den alten Key abwählen, den neuen anwählen [[File:Dnssec_key_rollover_4.png]]
| |
| # Zusammenfassung mit "Speichern" abschliesen [[File:Dnssec_key_rollover_5.png]]
| |
| # Rückmeldung an Techstaff dass der Keywechsel gemacht wurde.
| |
| | |
| == Beispiel-Mail Ankündigung Key Rollover ==
| |
| Hallo Roman,
| |
| | |
| die Lebenszeit des KSK (Key Signing Keys) - 1 Jahr - ist abgelaufen. Ich
| |
| habe deshalb einen Key-Rollover gestartet.
| |
| | |
| Im ersten Schritt ist der neue KSK mit der ID xxxx erzeugt worden. Der alte
| |
| hat die ID yyy. Wir müssen jetzt warten, bis der neue Key in der Zone als
| |
| Eintrag geladen und verbreitet ist. Dann leite ich den zweiten Schritt ein.
| |
| | |
| Im zweiten Schritt wird auch der neue KSK für das Signing des ZSK verwendet.
| |
| Dann musst du warten bis der DS bei Switch den neuen Key enthält und dann
| |
| musst du statt des alten KSK den neuen KSK auswählen.
| |
| | |
| Im dritten Schritt wird der alte KSK in der Zone gelöscht und wird dann
| |
| nicht mehr für Signing des ZSK verwendet.
| |
| | |
| Ich gebe dir wieder Bescheid, wenn ich den zweiten Schritt eingeleitet habe
| |
| (heute oder morgen). Du solltest in der Zwischenzeit sicherstellen, dass du
| |
| Zugang zum Switch-Portal hast um die Änderung durchführen zu können.
| |
| | |
| Gruss, Othmar
| |
| | |
| == Beispiel-Mail Key-Rollover beim Registrat auslösen ==
| |
| Hallo Roman,
| |
| | |
| Es ist jetzt soweit, du solltest jetzt auf den neuen KSK wechseln.
| |
| | |
| Es ist tatsächlich nicht ganz trivial den entsprechenden Bearbeitungsweg zu
| |
| finden. Besonders wenn man es nur einmal im Jahr machen muss. Klar ist, dass
| |
| es zuerst die Zone ausgewählt werden muss um sie anschliessend zu
| |
| bearbeiten. Im nächsten Screen gibt es den Button "DNSSEC" und danach kann
| |
| man sich entscheiden, DNSSEC ganz zu deaktivieren oder eben die Schlüssel zu
| |
| ändern. Während des Rollovers müsste man dann zwei zur Auswahl haben, wo man
| |
| dann den neuen auswählen sollte. Dieser Schritt muss unbedingt passieren,
| |
| bevor der alte Schlüssel in der Zone selbst nicht mehr verwendet wird, sonst
| |
| gibt es keine vertrauenswürdige Kette mehr.
| |
| | |
| Gruss, Othmar
| |
DNS auf trash.net hosten
- Es gibt zwei unterschiedliche DNS-Server auf trash.net: DJBDNS und BIND
- Falls DNSSEC gewünscht wird, dann muss BIND verwendet werden
- Je nach gewähltem DNS-Server muss ein Zone-File erstellt werden
- Falls ein dynamischer Update der IP-Adresse im Stil von dyndns gewünscht wird: Dynamic DNS
- Kontakt mit techstaff@trash.net aufnehmen und Hosting der Domain beantragen. Dazu das Zone-File mitgeben
- Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
- Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
- Zusätzliche DNS Records (z.b. für einen zus. Host oder eine zus. IP): /var/named/mybabey.ch/zone.db editieren
Sample Zone-File
$TTL 3600
mybabey.ch. 2560 IN SOA dnssec1.trash.net. hostmaster.mybabey.ch. (
2011050301 ; serial
16384
2048
1048576
2560
)
mybabey.ch. 259200 IN NS dnssec1.trash.net.
mybabey.ch. 259200 IN NS dnssec2.trash.net.
mybabey.ch. 86400 IN MX 10 mybabey.ch.
mybabey.ch. 300 IN A 217.162.73.239
ftp.mybabey.ch. 86400 IN CNAME mybabey.ch.
www.mybabey.ch. 86400 IN CNAME mybabey.ch.
$include dnskey.db
Offenen DNS-Resolver von trash.net nutzen
Siehe Artikel auf trash.net
Key Rollover: Step by Step Anleitung
Siehe Artiekl auf trahs.net
