dnssec 썸네일형 리스트형 BIND DNS에서 TSIG를 설정하는 방법 BIND DNS에서 TSIG를 설정하는 방법 DNS 역할 아이피 주소 도메인 비고 Master 192.168.56.51 ns1.bind.sangchul.kr Slave 192.168.56.52 ns2.bind.sangchul.kr 도메인 위임 1. TSIG 키 생성 (마스터 - node1) Kexample.cohttp://m.+165+12345.key 및 Kexample.com.+165+12345.private와 같은 두 파일을 생성합니다. 2. 생성된 TSIG 키 확인 (마스터 - node1) 3. 마스터 BIND 구성 파일 편집 (node1) 다음과 같이 TSIG 키를 추가합니다. 4. BIND 서버 재시작 (마스터 - node1) 5. 슬레이브 BIND 구성 파일 편집 (node2) 다음과 같이 T.. 더보기 [네임서버] DNSSEC 설정 및 적용 DNSSEC 설정 및 적용 각각의 도메인 존에 대해 Zone Signing Key(ZSK)와 Key Signing Key(KSK)를 생성한다. •Zone Signing Key (ZSK) ◦존의 모든 RR 를 서명한다. •Key Signing Key (KSK) ◦ZSK를 서명하는데 사용한다. ◦존의 Secure Entry Point (SEP) 키로 사용된다. ▶ Key-Signing Key (KSK) 생성 [root@sangchul named]# dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -n ZONE -f KSK sangchul.kr Generating key pair.......................................+++ ........... 더보기 [네임서버] dnssec 적용 관련 dnssec 적용 관련 1. my-domain.re.kr 키생성 /usr/local/bind/sbin/dnssec-keygen -a NSEC3RSASHA1 -r /dev/urandom -b 2048 -n ZONE -f KSK my-domain.re.kr. /usr/local/bind/sbin/dnssec-keygen -a NSEC3RSASHA1 -r /dev/urandom -b 1024 -n ZONE my-domain.re.kr. 서명 /usr/local/bind/sbin/dnssec-signzone -S -3 96e920 -A -K /var/named/mydomainkey -f /var/named/my-domain.re.kr-zone.signed -o my-domain.re.kr. /var/named/.. 더보기 [네임서버] DNSSEC 구축 방법 및 검증 DNSSEC 구축 방법 및 검증 1. 도메인 설정 및 존파일 작성 [root@LAMP01 named]# tail /etc/named.conf zone "sangchul.kr" { type master; file "sangchul.kr-zone"; allow-update { none; }; }; [root@LAMP01 named]# cat sangchul.kr-zone $TTL 600 @ IN SOA ns.sangchul.kr. dns.netpiacorp.com. ( 2013022701 ; Serial 2H ; Refresh 1H ; Retry 1W ; Expire 1H ) ; Minimum IN NS ns1.sangchul.kr. IN NS ns2.sangchul.kr. IN A 211.234.242.1.. 더보기 [네임서버] 권한 DNS서버의 도메인 존 DNSSEC 서명적용 및 네임서버 반영절차 권한 DNS서버의 도메인 존 DNSSEC 서명적용 및 네임서버 반영절차 1. 도메인 등록 # tail -n 1 /etc/named.conf zone "scbyun.com" IN { type master; file "scbyun.com-zone"; }; 2. 존파일 생성 # cat scbyun.com-zone $TTL 300 @ IN SOA red.scbyun.com. admin.scbyun.com. ( 2013050903 ; serial 1800 ; refresh (2 hours) 300 ; retry (1 hour) 3600000 ; expire (1 week) 300 ; minimum (1 hour) ) ;serial : 2차 DNS서버가 수정여부를 알 수 있도록 하기 위한 존파일의 버전 ;refre.. 더보기 [네임서버] 캐시 DNS서버의 DNSSEC 서명검증 기능 설정 캐시 DNS서버의 DNSSEC 서명검증 기능 설정 1. dnssec 옵션 설정 # vi named.conf options { ... dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; ... }; INCLUDE "/etc/named.root.key"; 2. managed-keys-directory 생성 # mkdir /var/named/dynamic 3. named.iscdlv.key, named.root.key 파일 생성 # cat /etc/na.. 더보기 이전 1 다음
