kb:crypto:dnssec
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
kb:crypto:dnssec [2018/07/02 19:36] – créée beu | kb:crypto:dnssec [2022/07/09 19:54] (Version actuelle) – beu | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ======DNSSEC====== | + | ======Signer ses entrées DNS avec DNSSEC |
- | ====Générer des clés sécurisé==== | + | :!: Gérer son DNSSEC est plutôt simple, mais demande de la précaution, |
+ | =====Signer un domaine===== | ||
- | ====Roll-Over des clés==== | + | ==== Configuration de votre Bind9 ==== |
- | | + | Avant de commencer, il faut s' |
- | - Fournir | + | Personnellement, |
- | - Attendre | + | |
- | - Signer | + | Il faudra ensuite définir un dossier pour contenir les clés. Ce dossier devra est lisible par l' |
+ | |||
+ | < | ||
+ | key-directory "/ | ||
+ | </ | ||
+ | |||
+ | Ensuite, je vous conseille de définir la méthode de mise à jour des zones en mode date, ce n'est pas obligatoire, | ||
+ | |||
+ | < | ||
+ | serial-update-method date; | ||
+ | </ | ||
+ | |||
+ | ==== Configuration de votre domaine === | ||
+ | |||
+ | Pour commencer, il faut générer les clés pour ce domaine. Avant cela, il faut il faut générer. | ||
+ | |||
+ | Pour générer | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -f KSK exemple.net | ||
+ | </ | ||
+ | |||
+ | Pour générer une clé ZSK avec l’algorithme 16 : | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE exemple.net | ||
+ | </ | ||
+ | |||
+ | Ensuite, dans la déclaration de votre zone dans la configuration de **bind9**, il faudra inclure ces deux lignes : | ||
+ | |||
+ | < | ||
+ | auto-dnssec maintain; | ||
+ | inline-signing true; | ||
+ | </ | ||
+ | |||
+ | Et recharger **bind9** avec : | ||
+ | |||
+ | <code bash> | ||
+ | # rndc reload | ||
+ | </ | ||
+ | |||
+ | Une fois fait, vérifiez que votre domaine est bien signé en faisant une requête DNS simple : | ||
+ | |||
+ | <code bash> | ||
+ | # dig +short @ns01.virtit.fr virtit.fr DNSKEY | ||
+ | </ | ||
+ | |||
+ | Vous devriez voir vos 2 clés: | ||
+ | |||
+ | < | ||
+ | 257 3 14 8EFFgoNyjBNEVEJv2bcWEuJNVce/ | ||
+ | 256 3 14 hnBDXcku9GgDVcs+UjwE837AXqkg22dzNDRy9ovb+JgOPUSJxggyTpos DorqO+C5zklhUQQGdS59fNiL+9w/ | ||
+ | </ | ||
+ | |||
+ | Ensuite, comme quand vous avez créé vos clés, il va falloir aller définir les entrées DS dans votre registrar. Il est obligatoire de déclarer les entrées DS de ses clés KSK, et facultatif de le faire pour les clés ZSK. La norme étant même de ne pas le faire. | ||
+ | |||
+ | Pour récupérer | ||
+ | |||
+ | <code bash> | ||
+ | dnssec-dsfromkey -a SHA-384 Kvirtit.fr.+016+17928.key | ||
+ | </ | ||
+ | |||
+ | et ensuite, on va l' | ||
+ | |||
+ | Une fois fait, vous pouvez vérifier que les signatures sont valides via le site https:// | ||
+ | =====Roll-Over des clés===== | ||
+ | |||
+ | La pratique recommandée est de renouveler ses clés ZSK tout les 3 mois, et les KSK tous les ans. | ||
+ | |||
+ | Personnellement, | ||
+ | |||
+ | Rendez-vous dans votre dossier | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -f KSK -r / | ||
+ | </ | ||
+ | |||
+ | et comme cela pour la ZSK: | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -r / | ||
+ | </ | ||
+ | |||
+ | Assurez vous que les clés sont lisibles par l' | ||
+ | |||
+ | <code bash> | ||
+ | # chmod g+r / | ||
+ | </ | ||
+ | |||
+ | Ensuite, rechargez la configuration de bind : | ||
+ | |||
+ | <code bash> | ||
+ | # rndc reload | ||
+ | </ | ||
+ | |||
+ | Ensuite, vous pouvez vérifier que les clés ont été chargées via : | ||
+ | |||
+ | <code bash> | ||
+ | # dig +short @ns01.virtit.fr virtit.fr DNSKEY | ||
+ | </ | ||
+ | |||
+ | Vous devriez voir 4 clés, les anciennes | ||
+ | |||
+ | < | ||
+ | 257 3 14 8EFFgoNyjBNEVEJv2bcWEuJNVce/ | ||
+ | 256 3 14 hnBDXcku9GgDVcs+UjwE837AXqkg22dzNDRy9ovb+JgOPUSJxggyTpos DorqO+C5zklhUQQGdS59fNiL+9w/ | ||
+ | 256 3 16 qI8l3+HET31u9qSw3l8mjKVoM0QI6dRlHAH2j/ | ||
+ | 257 3 16 XKBH2mz7VoHzOPxcYPAqfjxr9yAu3Xweu7pGSGhxxQx7TJilIYj0f1zV uqFh7TQ6cmdna3HPrbaA | ||
+ | </ | ||
+ | |||
+ | Ensuite, comme quand vous avez créé vos clés, il va falloir aller définir les entrées DS dans votre registrar. Pour rappel, il est obligatoire de déclarer les entrées DS de ses clés KSK. | ||
+ | |||
+ | Pour récupérer | ||
+ | |||
+ | <code bash> | ||
+ | dnssec-dsfromkey -a SHA-384 Kvirtit.fr.+016+17928.key | ||
+ | </ | ||
+ | |||
+ | et ensuite, on va l' | ||
+ | |||
+ | :!: Ne supprimez pas les anciennes entrées DS pour le moment | ||
+ | |||
+ | Il faudra attendre l' |
kb/crypto/dnssec.1530560177.txt.gz · Dernière modification : 2018/07/02 19:36 de beu