[dnssec-users] Dnssec nedela co ma VYRESENO

Martin Och martin na och.cz
Pondělí Říjen 11 16:05:45 CEST 2010


Dobre odpoledne.

Dnes, ccav 01:00 se mi podarilo vse rozjet a kupodivu to i funguje... Koho to zajima, jde o zonu 3foto.cz

Problemy byly asi 3.
1. jsem to asi nemel dobre prelozene a ackoliv to nehlasilo zadne chyby, tak to ASI nefungovalo
2. byl jsem asi moc zbrkly a dostaval jsem cacheovane informace
3. necetl jsem poradne doc

Udelal jsem si novy virtual ciste pro ns, a ted muzu rict, 
ze kdyz clovek postupuje presne dle INSTALL, pripadne README ci dalsich doc, a pracuje dle viz nize, 
dostavi se uspech (aspon v mem pripade). 
Pokud by mel nekdo zajem, muzu poskytnout ESXi soubory (cca 4GB nekomprimovane) pro rozjeti virtualu.

1. instalace cisteho systemu (v mem pripade CentOS, posledni verze), samozrejme neni nutne pokud vite co delate na stavajicim stroji :)

2. vycisteni systemu od nepotrebnych zbytecnosti - mam rad poradek, ale nic se nema prehanet :)

3. yum update

4. reboot

5. precist README/INSTALL/doc v openssl-1.0.0a

6. v openssl-1.0.0a:
   ./config zlib --prefix=/usr/local --openssldir=/usr/local/openssl
   make
   make test
   make install

7. precist README/INSTALL/doc v bind-9.7.2-P2

8. v bind-9.7.2-P2
   ./configure --prefix=/usr/local/ --with-open-ssl=/usr/local/openssl/
   make
   make test
   make install

9. precist README/INSTALL/doc v dnssec-tools-1.8 
   nainstalovat pres CPAN Net::DNS a Net::DNS::SEC a pripadne vse co si to vyzada
   ./configure --with-openssl --with-nsec3 --with-dlv (to dlv asi neni nutne)
   make
   make install

10. bezna konfigurace named dle dostupnych informaci, hlavne zahrnuti . managed-keys do konfigurace.
11. zonesigner -genkeys zonename.tld, nezapomenout tuto PODEPSANOU zonu zahrnout konfigurace named
12. publikace KSK do .cz
13. uz by to melo fungovat :)

Dekuju Ondřeji Caletkovi za moralni podporu a testy me zony.
Dekuju vsem co ztraceli cas ctenim mych prispevku...
Dekuju Josefu Karliakovi za hint http://www.dns-info.cz/cs/dns-test/dom.php?dom=3foto.cz

Pekny den vsem,

--
Martin Och
http://www.och.cz
http://www.3foto.cz


----- Original Message -----
From: "Josef Karliak" <karliak na ajetaci.cz>
To: dnssec-users na lists.nic.cz
Sent: Monday, October 11, 2010 1:34:09 PM
Subject: Re: [dnssec-users] Dnssec nedela co ma - prosba o pomoc - DELSI

   Hoj,
   vznikly DS klic (soubor vznikne pri podepsani zony) by jsi mel  
predat registratorovi sve domeny. Ten tento klic zaradi a podepise  
svym klicem, to poputuje do jeho nadrazene az to skonci u root zony  
"." Opravte me, jestli se mylim :)
   Dokud nebude splnen "retezec duvery", tak ackoliv jsi podepsan,  
nejsou splneny vsechny predpoklady pro duveryhodnost.
   Ja mam tez domenu podepsanou NSEC3, ale jelikoz jeste nemam moznost  
preposlat DS zaznam vyse, tak nejsem "zeleny".
   Jinak jeste zkus otestovat nastaveni sve domeny pres  
http://www.dns-info.cz/cs/dns-test/dom.php?dom=3foto.cz , neco tam  
nesedi. Jestli to nemuze v souvislosti jeste neceho delat problem.
   Odzkousel jsem dig na tebe pres nas validujici server:
host1:/etc # dig 3foto.cz +dnssec

; <<>> DiG 9.4.1-P1 <<>> 3foto.cz +dnssec
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52318
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
;; QUESTION SECTION:
;3foto.cz.                      IN      A

;; ANSWER SECTION:
3foto.cz.               86242   IN      A       77.240.178.19

;; AUTHORITY SECTION:
3foto.cz.               86242   IN      NS      ns.mamutnet.cz.
3foto.cz.               86242   IN      NS      ns2.och.cz.

;; ADDITIONAL SECTION:
ns.mamutnet.cz.         85658   IN      A       195.39.74.205
ns2.och.cz.             86242   IN      A       77.240.178.28

;; Query time: 4 msec
;; SERVER: 195.113.123.85#53(195.113.123.85)
;; WHEN: Mon Oct 11 13:32:11 2010
;; MSG SIZE  rcvd: 133


A na me:
host:# dig ajetaci.cz +dnssec

; <<>> DiG 9.4.1-P1 <<>> ajetaci.cz +dnssec
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40383
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1460
;; QUESTION SECTION:
;ajetaci.cz.                    IN      A

;; ANSWER SECTION:
ajetaci.cz.             3370    IN      A       77.48.61.114
ajetaci.cz.             3370    IN      RRSIG   A 7 2 3600  
20110313193114 20100914183114 6620 ajetaci.cz.  
LoHlM6ePjDzJwtA6okjvnXZjT98Ie3DY0/fTMJ1Iv+yNXPsk+sWsWTn3  
fbG40I9TnyrrlQGawCY84TC36jGeNzv73UepWjGHNhSajFhGfki8d8pl  
frQ9EMPTFRCWTQt26CgW06u56djlkLmAmV28cs1rQolnsrvR8QRhUhZ9 FCo=

;; AUTHORITY SECTION:
ajetaci.cz.             3370    IN      NS      radio-hk.ppchc.cz.
ajetaci.cz.             3370    IN      NS      celer.ajetaci.cz.
ajetaci.cz.             3370    IN      RRSIG   NS 7 2 3600  
20110313193114 20100914183114 6620 ajetaci.cz.  
bsK0FPR5MhSF61LeA6AuRrNs7bVH4xf9MgIYdsMvafiAK3/y36w3vHNy  
yjC1cATtix9XQjzd5Ce9ckF10WnsK90lMxNRJ+HW13B2nvbj1tRPzPLZ  
NQ/QmNIy2opLVEVkJUYWPxBpCTkz9OYr8P4AMl7frIsN8HJvkDIoAW8s vmw=

;; Query time: 4 msec
;; SERVER: 195.113.123.85#53(195.113.123.85)
;; WHEN: Mon Oct 11 13:32:49 2010
;; MSG SIZE  rcvd: 444


   Jakoby nebyly dostupny dnssec zaznamy tvy domeny ? Co to ???
   J.K.


Další informace o konferenci dnssec-users