DNSSEC, part II, trust ta zone (et signe la)

Je documente ici a  la va vite mon implementation d’un domaine de test pour dnssec, j’ai utilise entre autre ce document.

Dans la serie simple, on imagine une zone genre: mazone.net. On commence par generer la Zone Signing Key (ZSK) et la Key Signing Key (KSK). Attention, cela prends un peu de temps à generer (faites des trucs sur le serveur pendant ce temps pour generer de l’entropie) :

dnssec-keygen -a RSASHA1 -b 1024 -n ZONE mazone.net
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE -f KSK mazone.net

On ajoute ca a la fin de son fichier de zone :

$include /etc/bind/Kdyn-dnssec.com.+003+38267.key ; ZSK
$include /etc/bind/Kdyn-dnssec.com.+003+23459.key ; KSK

Ensuite il faut signer la zone :

dnssec-signzone -p -t -g -k KSK.key -o domaine.com fichier.zone ZSK.key

Une fois cette etape faite, ajoutez ceci aux options :

dnssec-enable yes;

Changez ensuite votre zone dans /etc/bind/named.conf :

zone "mazone.net" {
type master;
file "/etc/bind/mazone.net.signed";
};

Deux tests pour verifier si cela marche :

dig +dnssec mazone.net a
dig +cd +multi mazone.net dnskey

Si tout va bien vous devriez voir des records de type DNSKEY.

Enfin, il est actuellement recommande de changer la ZSK devrait etre change tous les 3 mois et la KSK tous les ans. Gardez aussi bien en tete que votre TLD doit valider votre zone. C’est bien d’etre valide par le TLD, c’est une question de temps (comme l’IPv6 oui…)

20 thoughts on “DNSSEC, part II, trust ta zone (et signe la)

  1. salut,
    merci pour le guide. mais j’ai une probleme quand j’arrive au stade où j’ai ecrit :
    dnssec-signzone -p -t -g -k ZSK.key -o db-mazone.net mazone.net KSK.key
    j’ai eu ce message d’erreur:
    dnssec-signzone -p -t -g -k ZSK.key -o db-mazone.net mazone.net KSK.key
    à ce stade j’ai des ereurs:
    dnssec-signzone: error: dns_master_load: mazone.net:25: /etc/bind/Kdyn-dnssec.com.+005+14961.key: file not found
    dnssec-signzone: failed loading zone from ‘mazone.net’: file not found
    qu’est ce que je dois faire ici??????????
    aidez moi svp :(

  2. ok merci FRLinux j’ai corrigé les fautes et c’est bon ça marche en fin
    merci pour votre reponse :)

  3. salut,
    c moi une autre fois
    je suis désolée pour le dérangement. je veux installer dnssec sur mon serveur dns secondaire
    comment je peux procéder sachant que la zone mondomaine.tn est deja signé sur le primaire et et quand j’ai tapé dnssec-signzone aprés bien sur la generation de KSK et ZSK.
    j’ai eu cette reponse: /var/named/mondomaine.tn:1: no TTL specified; zone rejected
    dnssec-signzone: failed loading zone from ‘/var/named/mondomaine.tn’: no ttl
    alors que le fichier mondomaine.tn est vide ne contient que la clé de dnssec
    j’ai rien comprit :(
    merci de m’aider si possible
    cordialement

  4. bonjour quand je tape la commande suivante dnssec-signzone -p -t -g -k ZSK.key -o db-mazone.net mazone.net KSK.key
    ca maffiche des erreurs pouvez vous maider

  5. en fait mwa mon domaine c seunie.sn et il maffiche cette erreur
    dnssec-signzone: fatal: failed loading zone from ‘seunie.net’: file not found

  6. la documentation c pour kwa g deja lon bind installé je v just integrer DNSSEC et le tutoriel k g trouvé c celle ci

  7. je suggere egalement la lecture d’un distionnaire. File not found, ca veux dire qu’il trouve pas. Verifie ta configuration. Demande a ton support informatique de t’aider, cela sort du cadre normal de ce blog :)

  8. dabord je sai lire et interpreter donc pa la peine de m suggerer un dico.
    Et mon probleme c k j compren pa bien compri votre tutoriel si vou voulez maider allez y sinon vos suggestion vous pouvez les garder pour vous meme

  9. très bon petit how to et voilà mon retour d’expérience par rapport à ton tuto (et bien d’autres)

    j’ai remarqué que sur tous mes serveurs debian lenny, la commande de base tourne dans le vent, rien ne se passe (avec dnssec-keygen ou dnssec-signzone) j’utilise donc l’option dnssec-keygen -r /dev/urandom (suivi des options de base).

    Après dans ton tuto, tu as fait une petite erreur, et le lien que tu utilises m’a permis de voir ton erreur :

    “dnssec-signzone -p -t -g -k ZSK.key -o db-mazone.net mazone.net KSK.key” ici le -o correspond à la zone qu’il faut indiquer, et après il faut mettre le fichier de zone, ce que tu as inversé

    il faut donc taper : dnssec-signzone -p -t -g -k ZSK.key -o mon.domaine mon.fichier.de.zone KSK.key

    et oh joie, tout fonctionne :)

    merci et bonne continuation ! :D

  10. 2eme PS : t’as inversé aussi l’ordre des clés ZSK KSK :D

    donc la VRAIE bonne commande est la suivante :

    dnssec-signzone -p -t -g -k KSK.key -o domaine.com fichier.zone ZSK.key

    tchuss :D

  11. Merci pour tes corrections, c’est super sympa, j’ai modifié l’article et je compte aussi écrire un autre tuto avec les outils OpenDNSSec qui sont plus simples à utiliser pour gérer beaucoup de zones (j’en ai une vingtaine perso et près de 100 au taf).

  12. De rien, c’est un peu compliqué de trouver des tutos qui marchent à 100%

    j’ai du mixer le tient avec beaucoup trop. Pour une extension que l’AFNIC veut rendre obligatoire, il est désolant de ne pas trouver assez de tutoriels (ou de gens qui partagent) les informations qui peuvent servir pour n’importe quel cadre (personnel, projet, entreprise).

    j’avais même un bouquin de linux mag qui traitait de ça, aucune commande marchait.

    D’ailleurs il est fortement recommandé d’utiliser la version 9.7 de bind (au minium, ils viennent de sortir la 9.8 en ce début de mois)

    donc pour une version lenny (pour ceux qui ne sont pas à jour) il faudra mettre les dépôts de squeeze, supprimer bind9 et réinstaller après un apt-get update qui passera en 9.7.2

    comme je suis curieux, tu fais quoi dans la vie ? étudiant, taf ? et t’as fait quoi avant si t’es déjà dans le monde du travail ?

  13. salut

    vous pouvez me donner un guide complet qui m’aide a intégré ou configurée le dnssec
    j’utilise ubunto 10.10
    bind 9.7.1

    merci d’avance

  14. salut
    ce que je veux vraiment c configurer le dnnsec dans le serveur primaire et secondaire

    pouvez vous me donner un guide qui marche 100%

    merci

Comments are closed.