Мы поддерживаем делегирование доменов .RU, .SU и .РФ с использованием технологии DNSSEC.
Для защищенного делегирования домена с DNSSEC необходимо подписать вашу доменную зону. Во время процедуры подписания вам нужно сгенерировать открытый и закрытый ключи и внести открытый ключ в файл с информацией о вашем домене на первичном DNS-сервере. В момент подписи будут сгенерированы строки DNSKEY (keyset) и DS (dsset), которые вам нужно будет перенести в специальную графу формы в личном кабинете. В стандартном пакете BIND версии 9 есть все программы для выполнения подобных действий.
Вторичные серверы DNS не требуют над собой никаких действий, однако вам необходимо убедиться, что вторичный сервер также поддерживает DNSSEC. Если нет, вам необходимо активировать поддержку DNSSEC в конфигурационном файле BIND с помощью строки «dnssec-enable yes;».
Предположим, ваш домен — dnssec.su.
Для начала нужно создать 2 пары ключей:
- Первая пара – ZSK (Zone signing key) используется для подписи зонного файла.
> dnssec-keygen -r/dev/random -a RSASHA1 -b 1024 -n ZONE dnssec.su
Kdnssec.su.+005+25721
- Вторая пара – KSK (Key signing key) используется для подписи ключа ZSK и формирования DS-записей, которые передаются Администратору родительской зоны.
dns# dnssec-keygen -r/dev/random -f KSK -a RSASHA1 -b 1024 -n ZONE dnssec.su
Kdnssec.su.+005.32463
Программа dnssec-keygen выдаст имена файлов созданных ключей. Открытые ключи (в данном случае — содержимое файлов Kdnssec.su.+005+25721.key и Kdnssec.su.+005.32463.key) нужно добавить в зонный файл для домена (обычно он называется так же, как и сам домен).
Затем нужно подписать домен ключом ZSK:
> dnssec-signzone -r /dev/random -o dnssec.su -k Kdnssec.su.+005+32463 dnssec.su Kdnssec.su.+005+25721.key,
где подчеркнутое dnssec.su – это имя зонного файла.
Внимание! Вам нужно будет подписывать зонный файл каждый раз после того, как вы измените информацию о домене.
После подписи зонного файла сформируется его подписанная версия. По умолчанию файл с подписанной зоной называется «имя_зонного_файла» + «.signed». Теперь в /etc/named.conf найдите строчку, отвечающую за имя файла, в котором хранится информация о домене, и добавьте в нее .signed: file «dnssec.su»; ? file «dnssec.su.signed»; После этого перезагрузите named.
Теперь осталось интегрировать информацию о ключах в мировую систему DNSSEC. Для этого нужно из файла dsset-dnssec.su., который создаст dnssec-signzone, взять информацию о DS-записи (в файле будет строчка наподобие «dnssec.su. IN DS
29280 5 1 56CFF04E460B0FA4BCC31BDA08CFB4A98FF5140D») и всю запись, которая идет после DS, поместить в соответствующие поля
- ID ключа (keytag)
- Алгоритм подписи
- Тип дайджеста
- Дайджест
в описании вашего домена в пользовательском веб-интерфейсе R01.
В полях
- Протокол ключа
- Алгоритм ключа
- Публичный ключ
необходимо указать информацию из файла keyset-dnssec.su (все, что идет после типа ключа — он всегда равен 257) — выделено
жирным.
$ORIGIN .
DNSSEC.SU. 21600 IN DNSKEY 257
3 5 (
AwEAAbID+i3luGn+v4yFPDiJ5MJ9i7I5xyB6
MEBeFSA0UgrmqMlYGVHgiivkzkffvhKTEdda
HsQVjoVWvxMNpEgRD7o6hrf5Pftd7zXkFuOL
8vKuKcTe2nnkYGUTV5vJwvz8q8JOFUxp1UXQ
PpdhXmjInwLHutmQMp0OpvcQa70ZoqZz
) ; key id = 29280
Примерно через 6 часов ваш домен будет защищен протоколом DNSSEC.
Задать вопрос