Je documente ici a la va vite mon implementation d’un domaine de test pour dnssec, j’ai utilise entre autre ce document.
Dans la serie simple, on imagine une zone genre: mazone.net. On commence par generer la Zone Signing Key (ZSK) et la Key Signing Key (KSK). Attention, cela prends un peu de temps à generer (faites des trucs sur le serveur pendant ce temps pour generer de l’entropie) :
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE mazone.net
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE -f KSK mazone.net
On ajoute ca a la fin de son fichier de zone :
$include /etc/bind/Kdyn-dnssec.com.+003+38267.key ; ZSK
$include /etc/bind/Kdyn-dnssec.com.+003+23459.key ; KSK
Ensuite il faut signer la zone :
dnssec-signzone -p -t -g -k KSK.key -o domaine.com fichier.zone ZSK.key
Une fois cette etape faite, ajoutez ceci aux options :
dnssec-enable yes;
Changez ensuite votre zone dans /etc/bind/named.conf :
zone "mazone.net" {
type master;
file "/etc/bind/mazone.net.signed";
};
Deux tests pour verifier si cela marche :
dig +dnssec mazone.net a
dig +cd +multi mazone.net dnskey
Si tout va bien vous devriez voir des records de type DNSKEY.
Enfin, il est actuellement recommande de changer la ZSK devrait etre change tous les 3 mois et la KSK tous les ans. Gardez aussi bien en tete que votre TLD doit valider votre zone. C’est bien d’etre valide par le TLD, c’est une question de temps (comme l’IPv6 oui…)
salut,
merci pour le guide. mais j’ai une probleme quand j’arrive au stade où j’ai ecrit :
dnssec-signzone -p -t -g -k ZSK.key -o db-mazone.net mazone.net KSK.key
j’ai eu ce message d’erreur:
dnssec-signzone -p -t -g -k ZSK.key -o db-mazone.net mazone.net KSK.key
à ce stade j’ai des ereurs:
dnssec-signzone: error: dns_master_load: mazone.net:25: /etc/bind/Kdyn-dnssec.com.+005+14961.key: file not found
dnssec-signzone: failed loading zone from ‘mazone.net’: file not found
qu’est ce que je dois faire ici??????????
aidez moi svp :(
Ca veux simplement dire que les noms de fichiers que tu as renseigne dans ta zone ne sont pas les bons.
ok merci FRLinux j’ai corrigé les fautes et c’est bon ça marche en fin
merci pour votre reponse :)
salut,
c moi une autre fois
je suis désolée pour le dérangement. je veux installer dnssec sur mon serveur dns secondaire
comment je peux procéder sachant que la zone mondomaine.tn est deja signé sur le primaire et et quand j’ai tapé dnssec-signzone aprés bien sur la generation de KSK et ZSK.
j’ai eu cette reponse: /var/named/mondomaine.tn:1: no TTL specified; zone rejected
dnssec-signzone: failed loading zone from ‘/var/named/mondomaine.tn’: no ttl
alors que le fichier mondomaine.tn est vide ne contient que la clé de dnssec
j’ai rien comprit :(
merci de m’aider si possible
cordialement
bonjour quand je tape la commande suivante dnssec-signzone -p -t -g -k ZSK.key -o db-mazone.net mazone.net KSK.key
ca maffiche des erreurs pouvez vous maider
Sans voir les erreurs ca va etre dur :)
repondez svp
Ok, je pense que tu manques peut etre de competences, commence par lire ca : http://www.dnssec.net/practical-documents
en fait mwa mon domaine c seunie.sn et il maffiche cette erreur
dnssec-signzone: fatal: failed loading zone from ‘seunie.net’: file not found
la documentation c pour kwa g deja lon bind installé je v just integrer DNSSEC et le tutoriel k g trouvé c celle ci
donc si vou pouvez maider s seré vremen bien car jen ai besoin
je suggere egalement la lecture d’un distionnaire. File not found, ca veux dire qu’il trouve pas. Verifie ta configuration. Demande a ton support informatique de t’aider, cela sort du cadre normal de ce blog :)
dabord je sai lire et interpreter donc pa la peine de m suggerer un dico.
Et mon probleme c k j compren pa bien compri votre tutoriel si vou voulez maider allez y sinon vos suggestion vous pouvez les garder pour vous meme
très bon petit how to et voilà mon retour d’expérience par rapport à ton tuto (et bien d’autres)
j’ai remarqué que sur tous mes serveurs debian lenny, la commande de base tourne dans le vent, rien ne se passe (avec dnssec-keygen ou dnssec-signzone) j’utilise donc l’option dnssec-keygen -r /dev/urandom (suivi des options de base).
Après dans ton tuto, tu as fait une petite erreur, et le lien que tu utilises m’a permis de voir ton erreur :
“dnssec-signzone -p -t -g -k ZSK.key -o db-mazone.net mazone.net KSK.key” ici le -o correspond à la zone qu’il faut indiquer, et après il faut mettre le fichier de zone, ce que tu as inversé
il faut donc taper : dnssec-signzone -p -t -g -k ZSK.key -o mon.domaine mon.fichier.de.zone KSK.key
et oh joie, tout fonctionne :)
merci et bonne continuation ! :D
2eme PS : t’as inversé aussi l’ordre des clés ZSK KSK :D
donc la VRAIE bonne commande est la suivante :
dnssec-signzone -p -t -g -k KSK.key -o domaine.com fichier.zone ZSK.key
tchuss :D
Merci pour tes corrections, c’est super sympa, j’ai modifié l’article et je compte aussi écrire un autre tuto avec les outils OpenDNSSec qui sont plus simples à utiliser pour gérer beaucoup de zones (j’en ai une vingtaine perso et près de 100 au taf).
De rien, c’est un peu compliqué de trouver des tutos qui marchent à 100%
j’ai du mixer le tient avec beaucoup trop. Pour une extension que l’AFNIC veut rendre obligatoire, il est désolant de ne pas trouver assez de tutoriels (ou de gens qui partagent) les informations qui peuvent servir pour n’importe quel cadre (personnel, projet, entreprise).
j’avais même un bouquin de linux mag qui traitait de ça, aucune commande marchait.
D’ailleurs il est fortement recommandé d’utiliser la version 9.7 de bind (au minium, ils viennent de sortir la 9.8 en ce début de mois)
donc pour une version lenny (pour ceux qui ne sont pas à jour) il faudra mettre les dépôts de squeeze, supprimer bind9 et réinstaller après un apt-get update qui passera en 9.7.2
comme je suis curieux, tu fais quoi dans la vie ? étudiant, taf ? et t’as fait quoi avant si t’es déjà dans le monde du travail ?
Administrateur systeme :)
salut
vous pouvez me donner un guide complet qui m’aide a intégré ou configurée le dnssec
j’utilise ubunto 10.10
bind 9.7.1
merci d’avance
salut
ce que je veux vraiment c configurer le dnnsec dans le serveur primaire et secondaire
pouvez vous me donner un guide qui marche 100%
merci