1. Въведение
Настоящото ръководство има за цел да даде основна информация, която да е полезна на всички желаещи да подпишат притежаваните от тях домейни .bg с DNSSEC.
Предназначено е за начинаещи и не навлиза в подробности. Документът търпи всякакви критики и приема поправки като коментари в темата.
Приложената информация е достатъчна за подписване и на домейни от други зони, които поддържат DNSSEC.
2. Подготовка
2.1 Необходимо е да имате достъп до DNS сървърите, които управляват домейна ви, в противен случай ще трябва да помолите доставчика си на услуги да подпише зоната ви.
2.2 Активирайте поддръжката на DNSSEC в BIND, като добавите в раздел „options” на named.conf посочения ред и изпълните командата rndc reconfig
2.3 Необходимо е да имате електронен подпис, за да добавите DS ключа в системата на РегистърБГ – използват се подписите на регистранта, или на упълномощено от него лице.
3. Генериране на ключове
В директорията, където се намира файлът на зоната ви, генерирайте двата ключа, като след изпълнението на всяка команда запомнете името на получения файл, което ще се изпише: (ако е необходимо, променете името на файла със зоната ви да съвпада със самата зона)
След това увеличете серийния номер на зоната.
4. Подписване на зоната
В същата директория, подпишете зоната:
1.key е името на файла с разширение .key, получен след изпълнението на командата за генериране на първия ключ.
2.key е името на файла с разширение .key, получен след изпълнението на командата за генериране на втория ключ.
/var/named/vashiat_domain.bg е името на файла, съдържащ вашата зона.
След подписването ще получите в същата директория още няколко нови файла. Променете в настройките на BIND пътя до зоната ви – вместо досегашното vashiat_domain.bg използвайте vashiat_domain.bg.signed
Презаредете настройките на BIND с командата:
Накрая добавете DS ключа от файла dsset-vashiat_domain.bg в системата на РегистърБГ, следвайки техните инструкции.
5. Проверки и последващи действия
Изчакайте няколко часа за обновяване на зоните и изпълнете командата:
Ако в отговора има маркер ad, зоната ви е подписана успешно.
;; flags: qr rd ra ad; ...
Можете да използвате системата DNScheck (http://dnscheck.iis.se или http://dnscheck.sidn.nl), или да инсталирате разширението DNSSEC Validator за Mozilla Firefox (http://www.dnssec-validator.cz/).
По подразбиране, 1 месец след подписването на зоната е необходимо да обновите ключовете, като указания ще бъдат посочени в отделно ръководство.
Настоящото ръководство има за цел да даде основна информация, която да е полезна на всички желаещи да подпишат притежаваните от тях домейни .bg с DNSSEC.
Предназначено е за начинаещи и не навлиза в подробности. Документът търпи всякакви критики и приема поправки като коментари в темата.
Приложената информация е достатъчна за подписване и на домейни от други зони, които поддържат DNSSEC.
2. Подготовка
2.1 Необходимо е да имате достъп до DNS сървърите, които управляват домейна ви, в противен случай ще трябва да помолите доставчика си на услуги да подпише зоната ви.
2.2 Активирайте поддръжката на DNSSEC в BIND, като добавите в раздел „options” на named.conf посочения ред и изпълните командата rndc reconfig
Код:
dnssec-enable yes;3. Генериране на ключове
В директорията, където се намира файлът на зоната ви, генерирайте двата ключа, като след изпълнението на всяка команда запомнете името на получения файл, което ще се изпише: (ако е необходимо, променете името на файла със зоната ви да съвпада със самата зона)
Код:
dnssec-keygen -a RSASHA1 -r /dev/urandom -b 2048 -n ZONE vashiat_domain.bg
dnssec-keygen -a RSASHA1 -r /dev/urandom -b 1024 -n ZONE vashiat_domain.bg4. Подписване на зоната
В същата директория, подпишете зоната:
Код:
dnssec-signzone -o vashiat_domain.bg -k 1.key /var/named/vashiat_domain.bg 2.key1.key е името на файла с разширение .key, получен след изпълнението на командата за генериране на първия ключ.
2.key е името на файла с разширение .key, получен след изпълнението на командата за генериране на втория ключ.
/var/named/vashiat_domain.bg е името на файла, съдържащ вашата зона.
След подписването ще получите в същата директория още няколко нови файла. Променете в настройките на BIND пътя до зоната ви – вместо досегашното vashiat_domain.bg използвайте vashiat_domain.bg.signed
Презаредете настройките на BIND с командата:
Код:
rndc reload vashiat_domain.bg5. Проверки и последващи действия
Изчакайте няколко часа за обновяване на зоните и изпълнете командата:
Код:
dig +dnssec vashiat_domain.bg @149.20.64.20;; flags: qr rd ra ad; ...
Можете да използвате системата DNScheck (http://dnscheck.iis.se или http://dnscheck.sidn.nl), или да инсталирате разширението DNSSEC Validator за Mozilla Firefox (http://www.dnssec-validator.cz/).
По подразбиране, 1 месец след подписването на зоната е необходимо да обновите ключовете, като указания ще бъдат посочени в отделно ръководство.