[GTER] Raiz assinada com DNSSEC e âncora publica da
Herbert Faleiros
herbert at scw.net.br
Mon Jul 19 00:10:47 -03 2010
Olá a todos,
aqui já está em produção nos nossos recursivos.
Para quem quiser um "howto" bem simples de como implementar isso no
Bind (no meu caso o 9.7.1) segue abaixo o que fiz por aqui:
* obter uma cópia da chave num formato compatível com o Bind (o que o
IANA disponibiliza tem deixado o pessoal confuso).
# dig +noall +answer DNSKEY . > raiz
* comparar os DS RRs dos KSK's
# dnssec-dsfromkey -f raiz .
. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E
. IN DS 19036 8 2
49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32 F24E8FB5
$ curl https://data.iana.org/root-anchors/root-anchors.xml -o iana
Dê uma olhada no arquivo "iana" e verifique se estão iguais ("iana" e "raiz").
Se tudo estiver em ordem, acrescente a cláusula "managed-keys" ao seu
named.conf, ex:
managed-keys {
"." initial-key 257 3 8 "
AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
QxA+Uk1ihz0= ";
};
Atualize o "dnssec-lookaside" para "auto", caso esteja usando DLV (se
não tiver adicione em "options").
Finalmente reinicie o Bind (ou execute um "rndc reconfig").
Para verificar se está funcionando:
# dig +dnssec .
nas flags verifique se tem um "ad" (authenticated data). Pode testar
com domínios .br. também.
Eu segui várias dicas de fóruns p/ efetuar essa configuração,
infelizmente eu não anotei todas as fontes (desculpem-me).
--
Herbert
More information about the gter
mailing list