Защищенное делегирование с DNSSEC

Мы поддерживаем делегирование доменов .RU, .SU и .РФ с использованием технологии DNSSEC.

Для защищенного делегирования домена с DNSSEC необходимо подписать вашу доменную зону. Во время процедуры подписания вам нужно сгенерировать открытый и закрытый ключи и внести открытый ключ в файл с информацией о вашем домене на первичном DNS-сервере. В момент подписи будут сгенерированы строки DNSKEY (keyset) и DS (dsset), которые вам нужно будет перенести в специальную графу формы в личном кабинете. В стандартном пакете BIND версии 9 есть все программы для выполнения подобных действий.

Вторичные серверы DNS не требуют над собой никаких действий, однако вам необходимо убедиться, что вторичный сервер также поддерживает DNSSEC. Если нет, вам необходимо активировать поддержку DNSSEC в конфигурационном файле BIND с помощью строки «dnssec-enable yes;».

Предположим, ваш домен — dnssec.su.

Для начала нужно создать 2 пары ключей:

Программа dnssec-keygen выдаст имена файлов созданных ключей. Открытые ключи (в данном случае — содержимое файлов Kdnssec.su.+005+25721.key и Kdnssec.su.+005.32463.key) нужно добавить в зонный файл для домена (обычно он называется так же, как и сам домен).

Затем нужно подписать домен ключом ZSK:
> dnssec-signzone -r /dev/random -o dnssec.su -k Kdnssec.su.+005+32463 dnssec.su Kdnssec.su.+005+25721.key,
где подчеркнутое dnssec.su – это имя зонного файла.

Внимание! Вам нужно будет подписывать зонный файл каждый раз после того, как вы измените информацию о домене.

После подписи зонного файла сформируется его подписанная версия. По умолчанию файл с подписанной зоной называется «имя_зонного_файла» + «.signed». Теперь в /etc/named.conf найдите строчку, отвечающую за имя файла, в котором хранится информация о домене, и добавьте в нее .signed: file «dnssec.su»; ? file «dnssec.su.signed»; После этого перезагрузите named.

Теперь осталось интегрировать информацию о ключах в мировую систему DNSSEC. Для этого нужно из файла dsset-dnssec.su., который создаст dnssec-signzone, взять информацию о DS-записи (в файле будет строчка наподобие «dnssec.su. IN DS 29280 5 1 56CFF04E460B0FA4BCC31BDA08CFB4A98FF5140D») и всю запись, которая идет после DS, поместить в соответствующие поля в описании вашего домена в пользовательском веб-интерфейсе R01. В полях необходимо указать информацию из файла keyset-dnssec.su (все, что идет после типа ключа — он всегда равен 257) — выделено жирным.

$ORIGIN .
DNSSEC.SU. 21600 IN DNSKEY 257 3 5 (
   AwEAAbID+i3luGn+v4yFPDiJ5MJ9i7I5xyB6
   MEBeFSA0UgrmqMlYGVHgiivkzkffvhKTEdda
   HsQVjoVWvxMNpEgRD7o6hrf5Pftd7zXkFuOL
   8vKuKcTe2nnkYGUTV5vJwvz8q8JOFUxp1UXQ
   PpdhXmjInwLHutmQMp0OpvcQa70ZoqZz
   ) ; key id = 29280

Примерно через 6 часов ваш домен будет защищен протоколом DNSSEC.

Задать вопрос