[dnssec-users] Dnssec nedela co ma - prosba o pomoc - DELSI

Martin Och martin na och.cz
Sobota Říjen 9 16:11:18 CEST 2010


Dobry den,

jiz 2 dny se trapim s DNSSEC, ackoliv jsem si rikal, ze to bude brnkacka, protze s dlv mi to slo na prvni nakopnuti...
Bohuzel jak to tak byva, nevidim nikde ani naznak chyby :(

Dovolim si tedy popsat co jsem delal a co to nedela:

Prelozil jsem si OpenSSL 1.0.0a 1 Jun 2010
Prelozil jsem si BIND 9.7.2-P2 a rekl mu v configure kde ma hledat openssl
Nainstaloval pres CPAN nejake drobnosti do perlu viz INSTALL z dnssec-tools
Prelozil jsem si dnssec-tools, rekl mu v confugure kde ma hledat openssl 
Vse bez problemu probehlo, vse jsem nainstaloval...

Do BINDu jsem pridal do options
        dnssec-enable yes;
        dnssec-validation yes;

a pak sekci

managed-keys {
  "." initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
  FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
  X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
  Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=";
};

To jsem vycetl tady http://www.nic.cz/page/563/jak-zprovoznit-dnssec/
Jestli je to OK, to se mi nepodarilo overit - nevim jak...

Bind jako takovy chodi OK, napr:
#dig +dnssec @ns.och.cz nic.cz 
dostanu v odpovedi priznak ad (flags: qr rd ra ad;) a v dnssec.log vidim prubeh validace.
A v Mozille s dnssec pluginem je zeleny klicek (pouzivam ns.och.cz i jako resolver pro svoje PC).

A ted k vlastni zone s podpisem:

Pouzil jsem zonesigner (ktery dela vsechny otravne commandline parametry za me), a udelal:
#zonesigner -showsigncmd -showkeycmd -genkeys 3foto.cz
-- /usr/local/sbin/dnssec-keygen -r /dev/urandom -a rsasha1 -b 1024 -n zone 3foto.cz
-- /usr/local/sbin/dnssec-keygen -r /dev/urandom -a rsasha1 -b 1024 -n zone 3foto.cz
-- /usr/local/sbin/dnssec-keygen -r /dev/urandom -a rsasha1 -b 2048 -n zone -f KSK 3foto.cz
-- /usr/local/sbin/dnssec-signzone  -g -k /home/named/primary/signed/K3foto.cz.+005+28486.key -o 3foto.cz -e +2592000 -f 3foto.cz.signed 3foto.cz.zs /home/named/primary/signed/K3foto.cz.+005+41013.key

# je radek s prikazem, 
-- je jeho vystup. 
Je to jen pro nazornost, -show parametry se uvadet nemuseji.
Jak je videt, dnssec-keygen vygeneruje 2 zsk a 1 ksk 
dnssec-signzone pak domenu podepise (zonesigner preda potrebne parametry).
Na disku pak vznikne (3foto.cz uz tam byla):
3foto.cz.krf
3foto.cz.signed
dsset-3foto.cz.
K3foto.cz.+005+28486.key
K3foto.cz.+005+28486.private
K3foto.cz.+005+41013.key
K3foto.cz.+005+41013.private
K3foto.cz.+005+52200.key
K3foto.cz.+005+52200.private

28486 je KSK, jehoz obsah jsem vypublikoval do KEYSSET KS:3FOTO.CZ-2
#cat K3foto.cz.+005+28486.key
; This is a key-signing key, keyid 28486, for 3foto.cz.
; Created: 20101009122723 (Sat Oct  9 14:27:23 2010)
; Publish: 20101009122723 (Sat Oct  9 14:27:23 2010)
; Activate: 20101009122723 (Sat Oct  9 14:27:23 2010)
3foto.cz. IN DNSKEY 257 3 5 AwEAAagKF/QXkgYwIVBuNn6jkzh/7PkVZWYO++JbC4i2yE8TdEypnEpe kGQZ9tKD0ffNrdZ38AfzEcrYfeuwvVbtNbQ7dFwl98pGMOQx9DwqwV2M T1/4vADgHkd0Ko9xssmyR8ziEgVRnqJl0EPKyr1PK3m1xPBhaIZ5xAu/ yJdh1igmm/YbzA7jlXkcCgLG+9dz2VORSQDL6puEUhvLwuiTK/OnvJXu kYrZAx+X506MhxS/IlfuwOc+BNSgHf489f19InFXSuH2wXwq3dL6GDpY ao+MuPK1hZBqsAJNvBG0yxfTy90U6d6T7QEoPkVMs8lnQC+Rp+0MdfMO xe2lvw/KUYc=

Tady me trosku zarazi, ze treba nic.cz tam ma jeste DS zaznam, (ten mam asi v dsset-3foto.cz). Ale Zoner nenabizi krome ZSK a KSK nic dalsiho.

Zona 3foto.cz je v bindu nasmerovana do souboru 3foto.cz.signed
Zonu jsem reloadnul.

Ted si blahove myslim, ze to je OK, ale 
#dig +dnssec @ns.och.cz 3foto.cz 
nevrati priznak ad (vrati aa - nevylucuje se to?), a co vic, ani v dnssec.log se neobjevi zadny prubeh validace - jako by se serveru nikdo neptal.
Ale pokud se takto digem zeptam na jakoukoliv zonu (ktera na nem nelezi), tak v logu prubeh je - to nechapu.

No a kdyz na www.3foto.cz vlezu z Mozilly, nedostanu zeleny klicek, ale klicek s "jednosmerkou".
Tvrdi ze zona neni zabezpecena, ackoliv v nic.cz tvrdi opak :) http://www.nic.cz/whois/?d=3foto.cz

Kdyz jsem si s dnssec hral pred casem, kdy jeste bylo potreba dlv, vse mi fungovalo. 
Mel jsem tehdy stary bind (z distribuce CentOS), ale vse slapalo jak melo...

Repodepsani resi #zonesigner 3foto.cz spousteny 1x za mesic v den prvniho podpisu zony...

Dokazal by mi nekdo poradit, klidne i za rozumnou uplatu.
Pripadne navrhnout jiny zpusob jak podepisovat a repodepisovat zony...

Dekuji vsem za pripadne odpovedi,

--
Martin Och
http://www.och.cz
http://www.3foto.cz


Další informace o konferenci dnssec-users