ИП Моисеенко А.А. (МааСофт/ООО МааСофтваре) |
|
|
/ Помощь - FAQ
Для настройки bind в Debian Linux (9-10) создаём директорию # mkdir /etc/bind/keys/ Для домена domain.ru создаём ключи:# d8="domain.ru" # международное имя домена, например, "домен.рф" /etc/bind/named.conf.options должен включать:# e8="domain.ru" # имя домена в кодировке punycode # dnsvar="/var/named/" # zone folder # dnskeys="/etc/bind/keys/" # keys folder # cd "$dnskeys" # rm -f "$dnskeys"K"$e8".* $dnsvar"$d8".jbk $dnsvar"$d8".jnl $dnsvar"$d8".signed $dnsvar"$d8".signed.jnl # dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE -r /dev/urandom "$e8" # dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -r /dev/urandom "$e8" chown bind:bind "$dnskeys"K"$e8".* chmod 640 "$dnskeys"K"$e8".* dnssec-enable yes; Из /etc/bind/named.conf включаетсяdnssec-validation auto; dnssec-lookaside no; include "/etc/bind/my_dns_zones.conf"; с информацией по доменной зоне:zone "domain.ru" { где 200.0.0.1; 220.0.0.2 - IP адреса своего dns сервера (primary и secondary)type master; file "/var/named/domain.ru"; allow-transfer { 200.0.0.1; 220.0.0.2; } ; inline-signing yes; auto-dnssec maintain; }; # /etc/init.d/bind9 reload На этом настройка нашего dns сервера для поддержки dnssec для домена domain.ru завершена, переходим к основному - как избежать граблей в настройке dnssec на стороне регистратора www.webnames.ru.Нам всего-то нужно включить dnssec для домена и прописать DS-запись на dns сервера зоны .ru. Внимание! Если вы только что зарегистрировали свой домен domain.ru, этого сразу делать нельзя - нужно подождать несколько часов, пока домен пропишется в dns зоны .ru. Заходим в свойства домена domain.ru, устанавливаем флаг DNSSEC: Переходим в настройку Delegation signer, указываем данные обоих ключей: В форме указываем Key Tag - номер ключа (для четырёхзначных номеров я указывал в начале незначащий ноль, как на скриншоте), Flags - 257 для ключа, подписывающего ключ зоны вашего домена, 256 - для ключа зоны вашего домена, Algorithm и Digest Type, как на рисунке, Digest из вывода # dig dnskey $e8 | sed "s/$d8/$e8/" | dnssec-dsfromkey -A -2 -f - $e8 (здесь sed заменяет utf8 имя домена для новых версий dig на punicode/ACE-кодировку)Копируем Public Key из # cat "/etc/bind/keys/K""$e8"*.key - вместе с пробелами, использующимися для ограничения длины записи в dns.Внимание! Если после этого в течение суток dnssec для вашей зоны не заработает (например, если вы стали настраивать dnssec и ds сразу после регистрации домена), придётся повторно генерировать ключи, удаляя старые, которые бесполезно будет пытаться повторно указать в Delegation signer на сайте регистратора. Обычно, DS прописывается более, чем за час. Для последнего домена убедился, что dnssec настроен и работает правильно через 3 часа после внесения изменений в Delegation signer. Проверить работу dnssec можно, например, так: # dig @8.8.8.8 -t ds $e8 Или, чтобы не получать кешированный ответ, прямым обращением к dns зоны .ru, .рф, .su:# dig @a.dns.ripn.net -t ds $e8 +norecurse Зоны .com:# dig @a.gtld-servers.net -t ds $e8 +norecurse и так:# delv @8.8.8.8 $e8 +multiline +rtrace А также на сайте https://dnsviz.net/По данным техподдержки webnames.ru, они поддерживают dnssec для для следующих доменов: com net org info name su ru cc tv ws me рф la voting.
Рейтинг: Назад Наверх / Помощь - FAQ |
Пользователь
Новости [...] Архив новостей. Новое на сайте
Страницы:
Сейчас на сайте
Гостей: 4
Пользователей: 0 Роботов: 2 Всего пользователей: 17 |
Мы принимаем к оплате: |