본문 바로가기

네임서버

[네임서버] 권한 DNS서버의 도메인 존 DNSSEC 서명적용 및 네임서버 반영절차

반응형

권한 DNS서버의 도메인 존 DNSSEC 서명적용 및 네임서버 반영절차

1. 도메인 등록
# tail -n 1 /etc/named.conf
zone "scbyun.com" IN { type master; file "scbyun.com-zone"; };

2. 존파일 생성
# cat scbyun.com-zone
$TTL 300
@ IN SOA red.scbyun.com. admin.scbyun.com. (
2013050903 ; serial
1800 ; refresh (2 hours)
300 ; retry (1 hour)
3600000 ; expire (1 week)
300 ; minimum (1 hour)
)
;serial : 2차 DNS서버가 수정여부를 알 수 있도록 하기 위한 존파일의 버전
;refresh : 2차 DNS서버가 1차 DNS서버의 갱신 내용을 확인 하기 위한 주기 초(s)
;retry : 1차 서버 문제로 인하여 SOA RR Refresh 실패시 다시 접속을 시도할 시간
;expire : 2차 DNS서버가 1차 DNS서버의 정보를 신뢰 할 수 있는 기간
;minimum : TTL 값 설정 부분

IN NS red.scbyun.com.
IN NS blue.scbyun.com.

IN A 127.0.0.1
IN AAAA ::1

www IN A 127.0.0.1

red IN A 127.0.0.1
blue IN A 127.0.0.1

3. 서명키 생성
KSK 생성 명령어(2048 비트 이상 사용 권고)
# dnssec-keygen -3 -r /dev/urandom -b 2048 -n ZONE -f KSK scbyun.com.
Generating key pair.......+++ ..............+++
Kscbyun.com.+007+62811

키 서명키(KSK)
KSK 개인키 : Kscbyun.com.+007+62811.private
KSK DNSKEY RR : Kscbyun.com.+007+62811.key


ZSK 키 사이즈(1024 비트 이상 사용 권고)
# dnssec-keygen -3 -r /dev/urandom -b 1024 -n ZONE scbyun.com.
Generating key pair.............++++++ .......++++++
Kscbyun.com.+007+05498

존 서명키(ZSK)
ZSK 개인키 : Kscbyun.com.+007+05498.private
ZSK DNSKEY RR : Kscbyun.com.+007+05498.key

4. Public Key 존 반영
# tail -n 2 scbyun.com-zone
$INCLUDE Kscbyun.com.+007+62811.key
$INCLUDE Kscbyun.com.+007+05498.key

5. 존 서명
# dnssec-signzone -S -K /var/named -3 96e920 -o scbyun.com. scbyun.com-zone
Verifying the zone using the following algorithms: NSEC3RSASHA1.
Zone signing complete:
Algorithm: NSEC3RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked
ZSKs: 1 active, 0 stand-by, 0 revoked
scbyun.com-zone.signed

보안위임 설정 정보(DS RR) : dsset-scbyun.com.
서명된 존파일 : scbyun.com-zone.signed

6. 네임서버에 존 반영
# tail -n 7 /etc/named.conf
zone "scbyun.com" IN {
type master;
file "scbyun.com-zone.signed";
key-directory "key";
auto-dnssec maintain;
update-policy local;
};

7. DNSSEC 점검
- DS
# dig @127.0.0.1 scbyun.com DS +dnssec +multi
- DNSKEY
# dig @127.0.0.1 scbyun.com DNSKEY +dnssec +multi
- RRSIG
# dig @127.0.0.1 scbyun.com RRSIG +dnssec +multi
- NSEC
# dig @127.0.0.1 scbyun.com NSEC +dnssec +multi

728x90
반응형