kb:crypto:dnssec
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
kb:crypto:dnssec [2018/07/02 21:01] – beu | kb:crypto:dnssec [2022/07/09 19:54] (Version actuelle) – beu | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ======DNSSEC====== | + | ======Signer ses entrées DNS avec DNSSEC |
- | ====Générer des clés sécurisé==== | + | :!: Gérer son DNSSEC est plutôt simple, mais demande de la précaution, |
- | Pour générer une clé avec l’algorithme | + | =====Signer un domaine===== |
+ | |||
+ | ==== Configuration de votre Bind9 ==== | ||
+ | |||
+ | Avant de commencer, il faut s' | ||
+ | Personnellement, | ||
+ | |||
+ | Il faudra ensuite définir un dossier pour contenir les clés. Ce dossier devra est lisible par l' | ||
+ | |||
+ | < | ||
+ | key-directory "/ | ||
+ | </ | ||
+ | |||
+ | Ensuite, je vous conseille de définir la méthode de mise à jour des zones en mode date, ce n'est pas obligatoire, | ||
+ | |||
+ | < | ||
+ | serial-update-method date; | ||
+ | </ | ||
+ | |||
+ | ==== Configuration de votre domaine === | ||
+ | |||
+ | Pour commencer, il faut générer les clés pour ce domaine. Avant cela, il faut il faut générer. | ||
+ | |||
+ | Pour générer une clé KSK avec l’algorithme | ||
<code bash> | <code bash> | ||
- | # dnssec-keygen -a ECDSAP384SHA384 | + | # dnssec-keygen -a ED448 -3 -n ZONE -f KSK exemple.net |
</ | </ | ||
- | ====Signer | + | Pour générer |
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE exemple.net | ||
+ | </ | ||
+ | Ensuite, dans la déclaration de votre zone dans la configuration de **bind9**, il faudra inclure ces deux lignes : | ||
+ | |||
+ | < | ||
+ | auto-dnssec maintain; | ||
+ | inline-signing true; | ||
+ | </ | ||
+ | |||
+ | Et recharger **bind9** avec : | ||
<code bash> | <code bash> | ||
- | # dnssec-signzone -3 1EA78EAF -e 20180806050000 -k / | + | # rndc reload |
</ | </ | ||
- | ====Roll-Over des clés==== | + | Une fois fait, vérifiez que votre domaine est bien signé en faisant une requête DNS simple : |
- | - Générer une nouvelle clé | + | <code bash> |
- | - Ajouter la clé dans la zone | + | # dig +short @ns01.virtit.fr virtit.fr DNSKEY |
- | - Fournir | + | </ |
- | - Attendre | + | |
- | - Signer | + | Vous devriez voir vos 2 clés: |
+ | |||
+ | < | ||
+ | 257 3 14 8EFFgoNyjBNEVEJv2bcWEuJNVce/ | ||
+ | 256 3 14 hnBDXcku9GgDVcs+UjwE837AXqkg22dzNDRy9ovb+JgOPUSJxggyTpos DorqO+C5zklhUQQGdS59fNiL+9w/ | ||
+ | </ | ||
+ | |||
+ | Ensuite, comme quand vous avez créé vos clés, il va falloir aller définir les entrées DS dans votre registrar. Il est obligatoire de déclarer les entrées DS de ses clés KSK, et facultatif de le faire pour les clés ZSK. La norme étant même de ne pas le faire. | ||
+ | |||
+ | Pour récupérer | ||
+ | |||
+ | <code bash> | ||
+ | dnssec-dsfromkey -a SHA-384 Kvirtit.fr.+016+17928.key | ||
+ | </ | ||
+ | |||
+ | et ensuite, on va l' | ||
+ | |||
+ | Une fois fait, vous pouvez vérifier que les signatures sont valides via le site https:// | ||
+ | =====Roll-Over des clés===== | ||
+ | |||
+ | La pratique recommandée est de renouveler ses clés ZSK tout les 3 mois, et les KSK tous les ans. | ||
+ | |||
+ | Personnellement, | ||
+ | |||
+ | Rendez-vous dans votre dossier | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -f KSK -r / | ||
+ | </ | ||
+ | |||
+ | et comme cela pour la ZSK: | ||
+ | |||
+ | <code bash> | ||
+ | # dnssec-keygen -a ED448 -3 -n ZONE -r / | ||
+ | </ | ||
+ | |||
+ | Assurez vous que les clés sont lisibles par l' | ||
+ | |||
+ | <code bash> | ||
+ | # chmod g+r / | ||
+ | </ | ||
+ | |||
+ | Ensuite, rechargez la configuration de bind : | ||
+ | |||
+ | <code bash> | ||
+ | # rndc reload | ||
+ | </ | ||
+ | |||
+ | Ensuite, vous pouvez vérifier que les clés ont été chargées via : | ||
+ | |||
+ | <code bash> | ||
+ | # dig +short @ns01.virtit.fr virtit.fr DNSKEY | ||
+ | </ | ||
+ | |||
+ | Vous devriez voir 4 clés, les anciennes | ||
+ | |||
+ | < | ||
+ | 257 3 14 8EFFgoNyjBNEVEJv2bcWEuJNVce/ | ||
+ | 256 3 14 hnBDXcku9GgDVcs+UjwE837AXqkg22dzNDRy9ovb+JgOPUSJxggyTpos DorqO+C5zklhUQQGdS59fNiL+9w/ | ||
+ | 256 3 16 qI8l3+HET31u9qSw3l8mjKVoM0QI6dRlHAH2j/ | ||
+ | 257 3 16 XKBH2mz7VoHzOPxcYPAqfjxr9yAu3Xweu7pGSGhxxQx7TJilIYj0f1zV uqFh7TQ6cmdna3HPrbaA | ||
+ | </ | ||
+ | |||
+ | Ensuite, comme quand vous avez créé vos clés, il va falloir aller définir les entrées DS dans votre registrar. Pour rappel, il est obligatoire de déclarer les entrées DS de ses clés KSK. | ||
+ | |||
+ | Pour récupérer | ||
+ | |||
+ | <code bash> | ||
+ | dnssec-dsfromkey -a SHA-384 Kvirtit.fr.+016+17928.key | ||
+ | </ | ||
- | ====Vérifier ses signatures==== | + | et ensuite, on va l' |
- | Afin de vérifier de manière graphique, voici un site fait pour cela : | + | :!: Ne supprimez pas les anciennes entrées DS pour le moment |
- | [[http:// | + | Il faudra attendre l' |
kb/crypto/dnssec.1530565272.txt.gz · Dernière modification : 2018/07/02 21:01 de beu