[[dns:dnssec]]
足跡:
顯示頁面
管理選單最近更新網站地圖

差異處

這裏顯示兩個版本的差異處。

連向這個比對檢視

兩邊的前次修訂版前次修改
下次修改		前次修改
最後一次修改 兩邊的下次修訂版
dns:dnssec [2015/03/07 08:54] jaldns:dnssec [2016/01/05 21:55] jal
行 4: 行 4:
 ===== 實作步驟 ===== ===== 實作步驟 =====
   - 產生 DNSKEY   - 產生 DNSKEY
-    - 產生 KSK (Key Signing Key) +    - 使用 RSA/SHA-1 演算法 (已不建議使用,請直接使用第二組 SHA-256) 
-      * dnssec-keygen -r /dev/urandom -f KSK -a RSASHA1 -b 2048 -n ZONE jal.tw +      - 產生 KSK (Key Signing Key) 
-      * 同樣會產生二個檔案(檔名請勿修改) +        * dnssec-keygen -r /dev/urandom -f KSK -a RSASHA1 -b 2048 -n ZONE jal.tw 
-        * Kjal.tw.+005+46449.key +        * 同樣會產生二個檔案(檔名請勿修改) 
-        * Kjal.tw.+005+46449.private +          * Kjal.tw.+005+46449.key 
-    - 產生 ZSK (Zone Signing Key) +          * Kjal.tw.+005+46449.private 
-      * dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE jal.tw +      - 產生 ZSK (Zone Signing Key) 
-        * 會產生二個檔案(檔名請勿修改) +        * dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE jal.tw 
-          * Kjal.tw.+005+30233.key +          * 會產生二個檔案(檔名請勿修改) 
-          * Kjal.tw.+005+30233.private +            * Kjal.tw.+005+30233.key 
-        * 005 是代表 RSASHA1,[[http://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml#dns-sec-alg-numbers-1|演算法列表]] +            * Kjal.tw.+005+30233.private 
-        * 30258 代表 Key ID +          * 005 是代表 RSASHA1,[[http://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml#dns-sec-alg-numbers-1|演算法列表]] 
-    - 使用 RSASHA256 演算法+          * 30258 代表 Key ID 
 +    - 使用 RSA/SHA-256 演算法
       * dnssec-keygen -r /dev/urandom -f KSK -a RSASHA256 -b 2048 -n ZONE jal.tw       * dnssec-keygen -r /dev/urandom -f KSK -a RSASHA256 -b 2048 -n ZONE jal.tw
         * Kjal.tw.+008+33567.key         * Kjal.tw.+008+33567.key
行 23: 行 24:
         * Kjal.tw.+008+42644.key         * Kjal.tw.+008+42644.key
         * Kjal.tw.+008+42644.private         * Kjal.tw.+008+42644.private
-      * 這時你會發現演算法變成 8 = RSASHA256+      * 這時你會發現演算法變成 8 = RSA/SHA-256 
 +      * Tips: 產生出來之後常常會混亂哪個是 KSK 哪個是 ZSK,簡單的判斷法,由於 KSK 是 2048 bits,所以檔案大小會比較大,這樣看最快了~
   - 將 DNSKEY 放入 zone file   - 將 DNSKEY 放入 zone file
     * cat *.key >> /etc/namedb/jal.tw.db     * cat *.key >> /etc/namedb/jal.tw.db
行 40: 行 42:
   - reload named   - reload named
     * named.reload     * named.reload
 +  - 因為常常會忘記每個重新簽發,所以寫了個 php 小程式直接丟 crontab 處理。[[https://github.com/jal-tw/dnssec-reissue-and-bind-reload| GitHub 連結]]
 ===== 完成後檢查 ===== ===== 完成後檢查 =====
   * dig any trace jal.tw   * dig any trace jal.tw
行 61: 行 64:
     * 重點在於那個 4 跟 1 之間的空格請刪除,它就會變成長度 64 的 DS 紀錄     * 重點在於那個 4 跟 1 之間的空格請刪除,它就會變成長度 64 的 DS 紀錄
     * TFN 可支援不同的 Algorithm 所產生的紀錄     * TFN 可支援不同的 Algorithm 所產生的紀錄
 +    * 但是都只支援輸入 Digest type 2 (SHA-256) 的紀錄,也就是上述紀錄第 6 個欄位為 2 的紀錄。
 +      * Digest type 1 為 SHA-1 紀錄
  
 ^ Key ID ^ Algorithm Number ^ DS紀錄 ^ ^ Key ID ^ Algorithm Number ^ DS紀錄 ^
行 68: 行 73:
   * HiNet DS 註冊方式   * HiNet DS 註冊方式
     * 個人沒有 HiNet 的,但是從 GSN 的文件看的話,我猜輸入格式如下     * 個人沒有 HiNet 的,但是從 GSN 的文件看的話,我猜輸入格式如下
-    * 另外,HiNet 直接寫明僅接受 RSA/SHA-256 所產生的紀錄(所以 dnssec-keygen 請用 -a RSASHA256 來產生 key)+    * 另外,HiNet 直接寫明僅接受 Algorithm 為 SHA-256 所產生的紀錄(所以 dnssec-keygen 請用 -a RSASHA256 來產生 key)
  
 ^ Keytag ^ DS 設定 ^ ^ Keytag ^ DS 設定 ^
行 77: 行 82:
   - [[http://www.myhome.net.tw/2011_04/p13.htm|DNSSEC 驗證流程]]   - [[http://www.myhome.net.tw/2011_04/p13.htm|DNSSEC 驗證流程]]
   - [[http://dns-security.twnic.net.tw/SEC100/files/50.pptx|TWNIC DNSSEC 實作班投影片(Link Broken)]] <- 大大推薦,我是按照這份完成設定的,可惜它失效了   - [[http://dns-security.twnic.net.tw/SEC100/files/50.pptx|TWNIC DNSSEC 實作班投影片(Link Broken)]] <- 大大推薦,我是按照這份完成設定的,可惜它失效了
-  - [[http://dnsviz.net/d/jal.tw/dnssec/|DNS Visualization Tool]]+  - [[http://dnsviz.net/d/jal.tw/dnssec/|DNS Visualization Tool (jal.tw)]] 
 +  - [[http://dnsviz.net/d/au.edu.tw/dnssec/|DNS Visualization Tool (au.edu.tw)]]
  
 ===== 結論 ===== ===== 結論 =====
dns/dnssec.txt · 上一次變更: 2021/11/14 17:26 由 jal
顯示頁面舊版
多媒體管理器回到頁頂
上一頁 | 下一頁 | 回首頁 | RSS Feed | Facebook
Copyright © 2000 - 2024 jal.tw All Rights Reserved.