У Вас устаревшая версия браузера. Скачайте современный Firefox, Chrome, Opera или Яндекс браузер для комфортного просмотра!
ИП Моисеенко А.А.
(МааСофт/ООО МааСофтваре)
 
√ Программы, √ Сайты, √ Хостинг,
http://maasoft.ruip@maasoft.ru,
+7(999)633-15-17 18:00-20:00 MSK
 
DNSSEC в bind в Debian Linux при работе с регистратором доменных имён www.webnames.ru
/ Помощь - FAQ
Для настройки bind в Debian Linux (9-10) создаём директорию
# mkdir /etc/bind/keys/
Для домена domain.ru создаём ключи:
# d8="domain.ru" # международное имя домена, например, "домен.рф"
# e8="domain.ru" # имя домена в кодировке punycode
# dnsvar="/var/named/" # zone folder
# dnskeys="/etc/bind/keys/" # keys folder
# cd "$dnskeys"
# rm -f "$dnskeys"K"$e8".* $dnsvar"$d8".jbk $dnsvar"$d8".jnl $dnsvar"$d8".signed $dnsvar"$d8".signed.jnl
# dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE -r /dev/urandom "$e8"
# dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -r /dev/urandom "$e8"
chown bind:bind "$dnskeys"K"$e8".*
chmod 640 "$dnskeys"K"$e8".*
/etc/bind/named.conf.options должен включать:
dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside no;
Из /etc/bind/named.conf включается
include "/etc/bind/my_dns_zones.conf";
с информацией по доменной зоне:
zone "domain.ru" {
type master;
file "/var/named/domain.ru";
allow-transfer { 200.0.0.1; 220.0.0.2; } ;
inline-signing yes;
auto-dnssec maintain;
};
где 200.0.0.1; 220.0.0.2 - IP адреса своего dns сервера (primary и secondary)
# /etc/init.d/bind9 reload
На этом настройка нашего dns сервера для поддержки dnssec для домена domain.ru завершена, переходим к основному - как избежать граблей в настройке dnssec на стороне регистратора www.webnames.ru.

Нам всего-то нужно включить dnssec для домена и прописать DS-запись на dns сервера зоны .ru.

Внимание! Если вы только что зарегистрировали свой домен domain.ru, этого сразу делать нельзя - нужно подождать несколько часов, пока домен пропишется в dns зоны .ru.

Заходим в свойства домена domain.ru, устанавливаем флаг DNSSEC:

Переходим в настройку Delegation signer, указываем данные обоих ключей:
В форме указываем Key Tag - номер ключа (для четырёхзначных номеров я указывал в начале незначащий ноль, как на скриншоте), Flags - 257 для ключа, подписывающего ключ зоны вашего домена, 256 - для ключа зоны вашего домена, Algorithm и Digest Type, как на рисунке, Digest из вывода
# dig dnskey $e8 | sed "s/$d8/$e8/" | dnssec-dsfromkey -A -2 -f - $e8
(здесь sed заменяет utf8 имя домена для новых версий dig на punicode/ACE-кодировку)
Копируем Public Key из
# cat "/etc/bind/keys/K""$e8"*.key
- вместе с пробелами, использующимися для ограничения длины записи в dns.

Внимание! Если после этого в течение суток dnssec для вашей зоны не заработает (например, если вы стали настраивать dnssec и ds сразу после регистрации домена), придётся повторно генерировать ключи, удаляя старые, которые бесполезно будет пытаться повторно указать в Delegation signer на сайте регистратора. Обычно, DS прописывается более, чем за час. Для последнего домена убедился, что dnssec настроен и работает правильно через 3 часа после внесения изменений в Delegation signer.

Проверить работу dnssec можно, например, так:
# dig @8.8.8.8 -t ds $e8
Или, чтобы не получать кешированный ответ, прямым обращением к dns зоны .ru, .рф, .su:
# dig @a.dns.ripn.net -t ds $e8 +norecurse
Зоны .com:
# dig @a.gtld-servers.net -t ds $e8 +norecurse
и так:
# delv @8.8.8.8 $e8 +multiline +rtrace
А также на сайте https://dnsviz.net/

По данным техподдержки webnames.ru, они поддерживают dnssec для для следующих доменов: com net org info name su ru cc tv ws me рф la voting.

6 января 2020 года, понедельник,
Автор: Моисеенко Андрей Алексеевич
 
Помощь

Рейтинг:

Назад  Наверх

/ Помощь - FAQ
Март 2024
   Пн   Вт   Ср   Чт   Пт   Сб   Вс   
           1   2   3   
   4   5   6   7   8   9   10   
   11   12   13   14   15   16   17   
   18   19   20   21   22   23   24   
   25   26   27   28   29   30   31   
 29 марта 2024 года, пятница 
Пользователь
Авторизация
e-mail:

пароль:


Регистрация
Поделиться
 0  0
Новости
[...] Архив новостей.
Сейчас на сайте
Гостей: 0
Пользователей: 0
Роботов: 3
Всего пользователей: 15
Другие ресурсы
Copyright © 2020-2024 ИП Моисеенко А.А.   
Мы принимаем к оплате:
Посетителей сегодня: 1, всего: 19, максимально: 1, начиная с 20.07.2023, вы просматриваете эту страницу 1 раз(а). Заходите ещё!!!