Подписване на домейн .bg с DNSSEC

[Regia]

1. Въведение

Настоящото ръководство има за цел да даде основна информация, която да е полезна на всички желаещи да подпишат притежаваните от тях домейни .bg с DNSSEC.
Предназначено е за начинаещи и не навлиза в подробности. Документът търпи всякакви критики и приема поправки като коментари в темата.
Приложената информация е достатъчна за подписване и на домейни от други зони, които поддържат DNSSEC.

2. Подготовка

2.1 Необходимо е да имате достъп до DNS сървърите, които управляват домейна ви, в противен случай ще трябва да помолите доставчика си на услуги да подпише зоната ви.
2.2 Активирайте поддръжката на DNSSEC в BIND, като добавите в раздел „options” на named.conf посочения ред и изпълните командата rndc reconfig

Code:

dnssec-enable yes;

2.3 Необходимо е да имате електронен подпис, за да добавите DS ключа в системата на РегистърБГ – използват се подписите на регистранта, или на упълномощено от него лице.

3. Генериране на ключове

В директорията, където се намира файлът на зоната ви, генерирайте двата ключа, като след изпълнението на всяка команда запомнете името на получения файл, което ще се изпише: (ако е необходимо, променете името на файла със зоната ви да съвпада със самата зона)

Code:

dnssec-keygen -a RSASHA1 -r /dev/urandom -b 2048 -n ZONE vashiat_domain.bg
dnssec-keygen -a RSASHA1 -r /dev/urandom -b 1024 -n ZONE vashiat_domain.bg

След това увеличете серийния номер на зоната.

4. Подписване на зоната

В същата директория, подпишете зоната:

Code:

dnssec-signzone -o vashiat_domain.bg -k 1.key /var/named/vashiat_domain.bg 2.key

1.key е името на файла с разширение .key, получен след изпълнението на командата за генериране на първия ключ.
2.key е името на файла с разширение .key, получен след изпълнението на командата за генериране на втория ключ.
/var/named/vashiat_domain.bg е името на файла, съдържащ вашата зона.
След подписването ще получите в същата директория още няколко нови файла. Променете в настройките на BIND пътя до зоната ви – вместо досегашното vashiat_domain.bg използвайте vashiat_domain.bg.signed
Презаредете настройките на BIND с командата:

Code:

rndc reload vashiat_domain.bg

Накрая добавете DS ключа от файла dsset-vashiat_domain.bg в системата на РегистърБГ, следвайки техните инструкции.

5. Проверки и последващи действия

Изчакайте няколко часа за обновяване на зоните и изпълнете командата:

Code:

dig +dnssec vashiat_domain.bg @149.20.64.20

Ако в отговора има маркер ad, зоната ви е подписана успешно.
;; flags: qr rd ra ad; ...

Можете да използвате системата DNScheck (http://dnscheck.iis.se или http://dnscheck.sidn.nl), или да инсталирате разширението DNSSEC Validator за Mozilla Firefox (http://www.dnssec-validator.cz/).

По подразбиране, 1 месец след подписването на зоната е необходимо да обновите ключовете, като указания ще бъдат посочени в отделно ръководство.