kb:crypto:dnssec
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
kb:crypto:dnssec [2018/07/02 19:55] – beu | kb:crypto:dnssec [2022/07/09 19:54] (Version actuelle) – beu | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ======DNSSEC====== | + | ======Signer ses entrées DNS avec DNSSEC |
- | ====Générer des clés sécurisé==== | + | :!: Gérer son DNSSEC est plutôt simple, mais demande de la précaution, |
- | Pour générer une clé avec l’algorithme | + | =====Signer un domaine===== |
+ | |||
+ | ==== Configuration de votre Bind9 ==== | ||
+ | |||
+ | Avant de commencer, il faut s' | ||
+ | Personnellement, | ||
+ | |||
+ | Il faudra ensuite définir un dossier pour contenir les clés. Ce dossier devra est lisible par l' | ||
+ | |||
+ | < | ||
+ | key-directory "/ | ||
+ | </ | ||
+ | |||
+ | Ensuite, je vous conseille de définir la méthode de mise à jour des zones en mode date, ce n'est pas obligatoire, | ||
+ | |||
+ | < | ||
+ | serial-update-method date; | ||
+ | </ | ||
+ | |||
+ | ==== Configuration de votre domaine === | ||
+ | |||
+ | Pour commencer, il faut générer les clés pour ce domaine. Avant cela, il faut il faut générer. | ||
+ | |||
+ | Pour générer une clé KSK avec l’algorithme | ||
<code bash> | <code bash> | ||
- | # dnssec-keygen -a ECDSAP384SHA384 | + | # dnssec-keygen -a ED448 -3 -n ZONE -f KSK exemple.net |
</ | </ | ||
- | ====Roll-Over des clés==== | + | Pour générer une clé ZSK avec l’algorithme 16 : |
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE exemple.net | ||
+ | </ | ||
+ | |||
+ | Ensuite, dans la déclaration de votre zone dans la configuration de **bind9**, il faudra inclure ces deux lignes : | ||
+ | |||
+ | < | ||
+ | auto-dnssec maintain; | ||
+ | inline-signing true; | ||
+ | </ | ||
+ | |||
+ | Et recharger **bind9** avec : | ||
+ | |||
+ | <code bash> | ||
+ | # rndc reload | ||
+ | </ | ||
+ | |||
+ | Une fois fait, vérifiez que votre domaine est bien signé en faisant une requête DNS simple : | ||
+ | |||
+ | <code bash> | ||
+ | # dig +short @ns01.virtit.fr virtit.fr DNSKEY | ||
+ | </ | ||
+ | |||
+ | Vous devriez voir vos 2 clés: | ||
+ | |||
+ | < | ||
+ | 257 3 14 8EFFgoNyjBNEVEJv2bcWEuJNVce/ | ||
+ | 256 3 14 hnBDXcku9GgDVcs+UjwE837AXqkg22dzNDRy9ovb+JgOPUSJxggyTpos DorqO+C5zklhUQQGdS59fNiL+9w/ | ||
+ | </ | ||
+ | |||
+ | Ensuite, comme quand vous avez créé vos clés, il va falloir aller définir les entrées DS dans votre registrar. Il est obligatoire de déclarer les entrées DS de ses clés KSK, et facultatif de le faire pour les clés ZSK. La norme étant même de ne pas le faire. | ||
+ | |||
+ | Pour récupérer l' | ||
+ | |||
+ | <code bash> | ||
+ | dnssec-dsfromkey -a SHA-384 Kvirtit.fr.+016+17928.key | ||
+ | </ | ||
+ | |||
+ | et ensuite, on va l' | ||
+ | |||
+ | Une fois fait, vous pouvez vérifier que les signatures sont valides via le site https:// | ||
+ | =====Roll-Over des clés===== | ||
+ | |||
+ | La pratique recommandée est de renouveler ses clés ZSK tout les 3 mois, et les KSK tous les ans. | ||
+ | |||
+ | Personnellement, | ||
+ | |||
+ | Rendez-vous dans votre dossier de clé, et générez les clés que vous souhaitez renouveler. Comme ceci pour la KSK : | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -f KSK -r / | ||
+ | </ | ||
+ | |||
+ | et comme cela pour la ZSK: | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -r / | ||
+ | </ | ||
+ | |||
+ | Assurez vous que les clés sont lisibles par l' | ||
+ | |||
+ | <code bash> | ||
+ | # chmod g+r / | ||
+ | </ | ||
+ | |||
+ | Ensuite, rechargez la configuration de bind : | ||
+ | |||
+ | <code bash> | ||
+ | # rndc reload | ||
+ | </ | ||
+ | |||
+ | Ensuite, vous pouvez vérifier que les clés ont été chargées via : | ||
+ | |||
+ | <code bash> | ||
+ | # dig +short @ns01.virtit.fr virtit.fr DNSKEY | ||
+ | </ | ||
+ | |||
+ | Vous devriez voir 4 clés, les anciennes et les nouvelles, par exemple : | ||
+ | |||
+ | < | ||
+ | 257 3 14 8EFFgoNyjBNEVEJv2bcWEuJNVce/ | ||
+ | 256 3 14 hnBDXcku9GgDVcs+UjwE837AXqkg22dzNDRy9ovb+JgOPUSJxggyTpos DorqO+C5zklhUQQGdS59fNiL+9w/ | ||
+ | 256 3 16 qI8l3+HET31u9qSw3l8mjKVoM0QI6dRlHAH2j/ | ||
+ | 257 3 16 XKBH2mz7VoHzOPxcYPAqfjxr9yAu3Xweu7pGSGhxxQx7TJilIYj0f1zV uqFh7TQ6cmdna3HPrbaA | ||
+ | </ | ||
+ | |||
+ | Ensuite, comme quand vous avez créé vos clés, il va falloir aller définir les entrées DS dans votre registrar. Pour rappel, il est obligatoire de déclarer les entrées DS de ses clés KSK. | ||
+ | |||
+ | Pour récupérer l' | ||
+ | |||
+ | <code bash> | ||
+ | dnssec-dsfromkey -a SHA-384 Kvirtit.fr.+016+17928.key | ||
+ | </ | ||
+ | |||
+ | et ensuite, on va l' | ||
+ | |||
+ | :!: Ne supprimez pas les anciennes entrées DS pour le moment | ||
- | - Générer une nouvelle clé | + | Il faudra attendre |
- | - Ajouter la clé dans la zone | + | |
- | - Fournir | + | |
- | - Attendre le temps de déploiement et de fin de cache | + | |
- | - Signer la zone avec la nouvelle clé et supprimer | + |
kb/crypto/dnssec.1530561323.txt.gz · Dernière modification : 2018/07/02 19:55 de beu