[dnssec-users] Dnssec nedela co ma - prosba o pomoc - DELSI

Josef Karliak karliak na ajetaci.cz
Pondělí Říjen 11 13:34:09 CEST 2010


   Hoj,
   vznikly DS klic (soubor vznikne pri podepsani zony) by jsi mel  
predat registratorovi sve domeny. Ten tento klic zaradi a podepise  
svym klicem, to poputuje do jeho nadrazene az to skonci u root zony  
"." Opravte me, jestli se mylim :)
   Dokud nebude splnen "retezec duvery", tak ackoliv jsi podepsan,  
nejsou splneny vsechny predpoklady pro duveryhodnost.
   Ja mam tez domenu podepsanou NSEC3, ale jelikoz jeste nemam moznost  
preposlat DS zaznam vyse, tak nejsem "zeleny".
   Jinak jeste zkus otestovat nastaveni sve domeny pres  
http://www.dns-info.cz/cs/dns-test/dom.php?dom=3foto.cz , neco tam  
nesedi. Jestli to nemuze v souvislosti jeste neceho delat problem.
   Odzkousel jsem dig na tebe pres nas validujici server:
host1:/etc # dig 3foto.cz +dnssec

; <<>> DiG 9.4.1-P1 <<>> 3foto.cz +dnssec
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52318
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
;; QUESTION SECTION:
;3foto.cz.                      IN      A

;; ANSWER SECTION:
3foto.cz.               86242   IN      A       77.240.178.19

;; AUTHORITY SECTION:
3foto.cz.               86242   IN      NS      ns.mamutnet.cz.
3foto.cz.               86242   IN      NS      ns2.och.cz.

;; ADDITIONAL SECTION:
ns.mamutnet.cz.         85658   IN      A       195.39.74.205
ns2.och.cz.             86242   IN      A       77.240.178.28

;; Query time: 4 msec
;; SERVER: 195.113.123.85#53(195.113.123.85)
;; WHEN: Mon Oct 11 13:32:11 2010
;; MSG SIZE  rcvd: 133


A na me:
host:# dig ajetaci.cz +dnssec

; <<>> DiG 9.4.1-P1 <<>> ajetaci.cz +dnssec
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40383
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
;; QUESTION SECTION:
;ajetaci.cz.                    IN      A

;; ANSWER SECTION:
ajetaci.cz.             3370    IN      A       77.48.61.114
ajetaci.cz.             3370    IN      RRSIG   A 7 2 3600  
20110313193114 20100914183114 6620 ajetaci.cz.  
LoHlM6ePjDzJwtA6okjvnXZjT98Ie3DY0/fTMJ1Iv+yNXPsk+sWsWTn3  
fbG40I9TnyrrlQGawCY84TC36jGeNzv73UepWjGHNhSajFhGfki8d8pl  
frQ9EMPTFRCWTQt26CgW06u56djlkLmAmV28cs1rQolnsrvR8QRhUhZ9 FCo=

;; AUTHORITY SECTION:
ajetaci.cz.             3370    IN      NS      radio-hk.ppchc.cz.
ajetaci.cz.             3370    IN      NS      celer.ajetaci.cz.
ajetaci.cz.             3370    IN      RRSIG   NS 7 2 3600  
20110313193114 20100914183114 6620 ajetaci.cz.  
bsK0FPR5MhSF61LeA6AuRrNs7bVH4xf9MgIYdsMvafiAK3/y36w3vHNy  
yjC1cATtix9XQjzd5Ce9ckF10WnsK90lMxNRJ+HW13B2nvbj1tRPzPLZ  
NQ/QmNIy2opLVEVkJUYWPxBpCTkz9OYr8P4AMl7frIsN8HJvkDIoAW8s vmw=

;; Query time: 4 msec
;; SERVER: 195.113.123.85#53(195.113.123.85)
;; WHEN: Mon Oct 11 13:32:49 2010
;; MSG SIZE  rcvd: 444


   Jakoby nebyly dostupny dnssec zaznamy tvy domeny ? Co to ???
   J.K.


Cituji Martin Och <martin na och.cz>:

> Dobry den,
>
> jiz 2 dny se trapim s DNSSEC, ackoliv jsem si rikal, ze to bude  
> brnkacka, protze s dlv mi to slo na prvni nakopnuti...
> Bohuzel jak to tak byva, nevidim nikde ani naznak chyby :(
>
> Dovolim si tedy popsat co jsem delal a co to nedela:
>
> Prelozil jsem si OpenSSL 1.0.0a 1 Jun 2010
> Prelozil jsem si BIND 9.7.2-P2 a rekl mu v configure kde ma hledat openssl
> Nainstaloval pres CPAN nejake drobnosti do perlu viz INSTALL z dnssec-tools
> Prelozil jsem si dnssec-tools, rekl mu v confugure kde ma hledat openssl
> Vse bez problemu probehlo, vse jsem nainstaloval...
>
> Do BINDu jsem pridal do options
>         dnssec-enable yes;
>         dnssec-validation yes;
>
> a pak sekci
>
> managed-keys {
>   "." initial-key 257 3 8  
> "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
>   FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX  
> bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
>   X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz  
> W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
>   Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=";
> };
>
> To jsem vycetl tady http://www.nic.cz/page/563/jak-zprovoznit-dnssec/
> Jestli je to OK, to se mi nepodarilo overit - nevim jak...
>
> Bind jako takovy chodi OK, napr:
> #dig +dnssec @ns.och.cz nic.cz
> dostanu v odpovedi priznak ad (flags: qr rd ra ad;) a v dnssec.log  
> vidim prubeh validace.
> A v Mozille s dnssec pluginem je zeleny klicek (pouzivam ns.och.cz i  
> jako resolver pro svoje PC).
>
> A ted k vlastni zone s podpisem:
>
> Pouzil jsem zonesigner (ktery dela vsechny otravne commandline  
> parametry za me), a udelal:
> #zonesigner -showsigncmd -showkeycmd -genkeys 3foto.cz
> -- /usr/local/sbin/dnssec-keygen -r /dev/urandom -a rsasha1 -b 1024  
> -n zone 3foto.cz
> -- /usr/local/sbin/dnssec-keygen -r /dev/urandom -a rsasha1 -b 1024  
> -n zone 3foto.cz
> -- /usr/local/sbin/dnssec-keygen -r /dev/urandom -a rsasha1 -b 2048  
> -n zone -f KSK 3foto.cz
> -- /usr/local/sbin/dnssec-signzone  -g -k  
> /home/named/primary/signed/K3foto.cz.+005+28486.key -o 3foto.cz -e  
> +2592000 -f 3foto.cz.signed 3foto.cz.zs  
> /home/named/primary/signed/K3foto.cz.+005+41013.key
>
> # je radek s prikazem,
> -- je jeho vystup.
> Je to jen pro nazornost, -show parametry se uvadet nemuseji.
> Jak je videt, dnssec-keygen vygeneruje 2 zsk a 1 ksk
> dnssec-signzone pak domenu podepise (zonesigner preda potrebne parametry).
> Na disku pak vznikne (3foto.cz uz tam byla):
> 3foto.cz.krf
> 3foto.cz.signed
> dsset-3foto.cz.
> K3foto.cz.+005+28486.key
> K3foto.cz.+005+28486.private
> K3foto.cz.+005+41013.key
> K3foto.cz.+005+41013.private
> K3foto.cz.+005+52200.key
> K3foto.cz.+005+52200.private
>
> 28486 je KSK, jehoz obsah jsem vypublikoval do KEYSSET KS:3FOTO.CZ-2
> #cat K3foto.cz.+005+28486.key
> ; This is a key-signing key, keyid 28486, for 3foto.cz.
> ; Created: 20101009122723 (Sat Oct  9 14:27:23 2010)
> ; Publish: 20101009122723 (Sat Oct  9 14:27:23 2010)
> ; Activate: 20101009122723 (Sat Oct  9 14:27:23 2010)
> 3foto.cz. IN DNSKEY 257 3 5  
> AwEAAagKF/QXkgYwIVBuNn6jkzh/7PkVZWYO++JbC4i2yE8TdEypnEpe  
> kGQZ9tKD0ffNrdZ38AfzEcrYfeuwvVbtNbQ7dFwl98pGMOQx9DwqwV2M  
> T1/4vADgHkd0Ko9xssmyR8ziEgVRnqJl0EPKyr1PK3m1xPBhaIZ5xAu/  
> yJdh1igmm/YbzA7jlXkcCgLG+9dz2VORSQDL6puEUhvLwuiTK/OnvJXu  
> kYrZAx+X506MhxS/IlfuwOc+BNSgHf489f19InFXSuH2wXwq3dL6GDpY  
> ao+MuPK1hZBqsAJNvBG0yxfTy90U6d6T7QEoPkVMs8lnQC+Rp+0MdfMO xe2lvw/KUYc=
>
> Tady me trosku zarazi, ze treba nic.cz tam ma jeste DS zaznam, (ten  
> mam asi v dsset-3foto.cz). Ale Zoner nenabizi krome ZSK a KSK nic  
> dalsiho.
>
> Zona 3foto.cz je v bindu nasmerovana do souboru 3foto.cz.signed
> Zonu jsem reloadnul.
>
> Ted si blahove myslim, ze to je OK, ale
> #dig +dnssec @ns.och.cz 3foto.cz
> nevrati priznak ad (vrati aa - nevylucuje se to?), a co vic, ani v  
> dnssec.log se neobjevi zadny prubeh validace - jako by se serveru  
> nikdo neptal.
> Ale pokud se takto digem zeptam na jakoukoliv zonu (ktera na nem  
> nelezi), tak v logu prubeh je - to nechapu.
>
> No a kdyz na www.3foto.cz vlezu z Mozilly, nedostanu zeleny klicek,  
> ale klicek s "jednosmerkou".
> Tvrdi ze zona neni zabezpecena, ackoliv v nic.cz tvrdi opak :)  
> http://www.nic.cz/whois/?d=3foto.cz
>
> Kdyz jsem si s dnssec hral pred casem, kdy jeste bylo potreba dlv,  
> vse mi fungovalo.
> Mel jsem tehdy stary bind (z distribuce CentOS), ale vse slapalo jak melo...
>
> Repodepsani resi #zonesigner 3foto.cz spousteny 1x za mesic v den  
> prvniho podpisu zony...
>
> Dokazal by mi nekdo poradit, klidne i za rozumnou uplatu.
> Pripadne navrhnout jiny zpusob jak podepisovat a repodepisovat zony...
>
> Dekuji vsem za pripadne odpovedi,
>
> --
> Martin Och
> http://www.och.cz
> http://www.3foto.cz
> _______________________________________________
> dnssec-users mailing list
> dnssec-users na lists.nic.cz
> https://lists.nic.cz/mailman/listinfo/dnssec-users
>



----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

------------- další část ---------------
Netextová příloha byla odstraněna...
Jméno: [žádný popis není k dispozici]
Typ: application/pgp-keys
Velikost: 1336 bytes
Popis: =?iso-8859-2?b?VmX4ZWpu/Q==?= PGP
 =?iso-8859-2?b?a2zt6A==?=
Url : http://lists.nic.cz/pipermail/dnssec-users/attachments/20101011/75fdae84/attachment.key 


Další informace o konferenci dnssec-users