Hlavní navigace

Názor k článku DNSSEC s BIND 9.9 snadno a rychle od Ston3 - Zdravím, využil jsem vašich poznatků jak přesvědčit bind 9.9.5,...

  • Článek je starý, nové názory již nelze přidávat.
  • 2. 3. 2018 9:25

    Ston3

    Zdravím,
    využil jsem vašich poznatků jak přesvědčit bind 9.9.5, který je v debianu a snažím se to replikovat na redhat, který má dokonce bind 9.9.4.
    Co tedy všechno musí být v zónovém souboru za záznamy když využívám ECDSA šifru a inline-signing?

    Mám tam DNSKEY, z něj udělanej "CDNSKEY" přes TYPE60 a HEXa zápis podle vás, pak taky DS, ale ten se mi z venku nepřekládá jako vám na skvelynet.cz, je to tím že ještě nemám řetězec důvěry? Ten CDNSKEY jsem tam zadal teprve včera cca v 18:00, tak nevím jestli mi přijde email o nálezu nebo mám něco špatně :D Za jak dlouho vám přišel?

    Zajímavé je taky co se děje s Serial číslem, v zónovém souboru mám např.:2018030113, ale log napíše:
    named[10032]: zone dns-sec.cz/IN (signed): sending notifies (serial 2018030116)
    named[10032]: zone dns-sec.cz/IN (signed): reconfiguring zone keys
    Musím tedy hlídat až do jakého čísla se povýšil podepsaný Serial abych neměl nižší číslo než aktuální?
    zone dns-sec.cz/IN (signed): reconfiguring zone keys
    Po změně serialu a rndc reload log píše toto:
    named[10032]: zone dns-sec.cz/IN (unsigned): loaded serial 2018030201
    named[10032]: zone dns-sec.cz/IN (signed): next key event: 02-Mar-2018 10:12:25.089
    named[10032]: zone dns-sec.cz/IN (signed): serial 2018030201 (unsigned 2018030201)
    Asi nechápu co to všechno znamená.
    První řádek - že má nepodepsanou zónu?
    Druhý řádek - že ji podepíše až v 10:12?
    Třetí řádek - zóna s tímto serialem podepsaná a potom v závorce že je nepodepsaná?
    Moc děkuji za všechny poznatky a odpovědi na možná stupidní otázky...