kb:crypto:dnssec
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédente | |||
kb:crypto:dnssec [2020/08/30 10:05] – beu | kb:crypto:dnssec [2022/07/09 19:54] (Version actuelle) – beu | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ======DNSSEC====== | + | ======Signer ses entrées DNS avec DNSSEC |
- | ====Générer des clés sécurisé==== | + | :!: Gérer son DNSSEC est plutôt simple, mais demande de la précaution, |
- | Pour générer une clé KSK avec l’algorithme | + | |
+ | =====Signer un domaine===== | ||
+ | |||
+ | ==== Configuration de votre Bind9 ==== | ||
+ | |||
+ | Avant de commencer, il faut s' | ||
+ | Personnellement, | ||
+ | |||
+ | Il faudra ensuite définir un dossier pour contenir les clés. Ce dossier devra est lisible par l' | ||
+ | |||
+ | < | ||
+ | key-directory "/ | ||
+ | </ | ||
+ | |||
+ | Ensuite, je vous conseille de définir la méthode de mise à jour des zones en mode date, ce n'est pas obligatoire, | ||
+ | |||
+ | < | ||
+ | serial-update-method date; | ||
+ | </ | ||
+ | |||
+ | ==== Configuration de votre domaine === | ||
+ | |||
+ | Pour commencer, il faut générer les clés pour ce domaine. Avant cela, il faut il faut générer. | ||
+ | |||
+ | Pour générer une clé KSK avec l’algorithme | ||
<code bash> | <code bash> | ||
- | # dnssec-keygen -a ECDSAP384SHA384 | + | # dnssec-keygen -a ED448 -3 -n ZONE -f KSK exemple.net |
</ | </ | ||
+ | Pour générer une clé ZSK avec l’algorithme 16 : | ||
- | Pour générer une clé ZSK avec l’algorithme 14 : | + | <code bash> |
+ | # dnssec-keygen -a ED448 -3 -n ZONE exemple.net | ||
+ | </ | ||
+ | |||
+ | Ensuite, dans la déclaration de votre zone dans la configuration de **bind9**, il faudra inclure ces deux lignes : | ||
+ | |||
+ | < | ||
+ | auto-dnssec maintain; | ||
+ | inline-signing true; | ||
+ | </ | ||
+ | |||
+ | Et recharger **bind9** | ||
<code bash> | <code bash> | ||
- | # dnssec-keygen -a ECDSAP384SHA384 -3 -n ZONE -r / | + | # rndc reload |
</ | </ | ||
- | ====Signer | + | Une fois fait, vérifiez que votre domaine est bien signé en faisant |
+ | <code bash> | ||
+ | # dig +short @ns01.virtit.fr virtit.fr DNSKEY | ||
+ | </ | ||
+ | Vous devriez voir vos 2 clés: | ||
+ | |||
+ | < | ||
+ | 257 3 14 8EFFgoNyjBNEVEJv2bcWEuJNVce/ | ||
+ | 256 3 14 hnBDXcku9GgDVcs+UjwE837AXqkg22dzNDRy9ovb+JgOPUSJxggyTpos DorqO+C5zklhUQQGdS59fNiL+9w/ | ||
+ | </ | ||
+ | |||
+ | Ensuite, comme quand vous avez créé vos clés, il va falloir aller définir les entrées DS dans votre registrar. Il est obligatoire de déclarer les entrées DS de ses clés KSK, et facultatif de le faire pour les clés ZSK. La norme étant même de ne pas le faire. | ||
+ | |||
+ | Pour récupérer l' | ||
<code bash> | <code bash> | ||
- | # dnssec-signzone | + | dnssec-dsfromkey |
</ | </ | ||
- | ====Roll-Over des clés==== | + | et ensuite, on va l' |
- | | + | Une fois fait, vous pouvez vérifier que les signatures sont valides via le site https:// |
- | - Ajouter la clé dans la zone | + | =====Roll-Over des clés===== |
- | - Fournir | + | |
- | - Attendre le temps de déploiement | + | La pratique recommandée est de renouveler ses clés ZSK tout les 3 mois, et les KSK tous les ans. |
- | - Signer la zone avec la nouvelle clé et supprimer | + | |
+ | Personnellement, | ||
+ | |||
+ | Rendez-vous dans votre dossier de clé, et générez les clés que vous souhaitez renouveler. Comme ceci pour la KSK : | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -f KSK -r / | ||
+ | </ | ||
+ | |||
+ | et comme cela pour la ZSK: | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -r / | ||
+ | </ | ||
+ | |||
+ | Assurez vous que les clés sont lisibles par l'utilisateur de **bind**, dans mon cas, il suffit d' | ||
+ | |||
+ | <code bash> | ||
+ | # chmod g+r / | ||
+ | </ | ||
+ | |||
+ | Ensuite, rechargez la configuration | ||
+ | |||
+ | <code bash> | ||
+ | # rndc reload | ||
+ | </ | ||
+ | |||
+ | Ensuite, vous pouvez vérifier que les clés ont été chargées via : | ||
+ | |||
+ | <code bash> | ||
+ | # dig +short @ns01.virtit.fr virtit.fr DNSKEY | ||
+ | </ | ||
+ | |||
+ | Vous devriez voir 4 clés, les anciennes | ||
+ | |||
+ | < | ||
+ | 257 3 14 8EFFgoNyjBNEVEJv2bcWEuJNVce/ | ||
+ | 256 3 14 hnBDXcku9GgDVcs+UjwE837AXqkg22dzNDRy9ovb+JgOPUSJxggyTpos DorqO+C5zklhUQQGdS59fNiL+9w/ | ||
+ | 256 3 16 qI8l3+HET31u9qSw3l8mjKVoM0QI6dRlHAH2j/ | ||
+ | 257 3 16 XKBH2mz7VoHzOPxcYPAqfjxr9yAu3Xweu7pGSGhxxQx7TJilIYj0f1zV uqFh7TQ6cmdna3HPrbaA | ||
+ | </ | ||
+ | |||
+ | Ensuite, comme quand vous avez créé vos clés, il va falloir aller définir les entrées DS dans votre registrar. Pour rappel, il est obligatoire | ||
+ | |||
+ | Pour récupérer | ||
+ | |||
+ | <code bash> | ||
+ | dnssec-dsfromkey -a SHA-384 Kvirtit.fr.+016+17928.key | ||
+ | </ | ||
- | ====Vérifier ses signatures==== | + | et ensuite, on va l' |
- | Afin de vérifier de manière graphique, voici un site fait pour cela : | + | :!: Ne supprimez pas les anciennes entrées DS pour le moment |
- | [[http:// | + | Il faudra attendre l' |
kb/crypto/dnssec.txt · Dernière modification : 2022/07/09 19:54 de beu