Red Hat Summit2.5. 自動鍵生成およびゾーン保守機能を使用した DNSSEC ゾーン署名
クライアントに対してゾーン情報の信頼性を確保するには、Domain Name System Security Extensions (DNSSEC) を使用してゾーンに署名できます。署名されたゾーンには、追加のリソースレコードが含まれています。
外部 DNS サーバーがゾーンの信頼性を検証できるように、ゾーンの公開鍵を親ゾーンに追加してください。詳細は、お使いのドメインプロバイダーまたはレジストリーにお問い合わせください。
ゾーンに対して DNSSEC ポリシー機能を有効にすると、BIND が自動的にアクションを実行します。これには、鍵の作成、ゾーンへの署名、ゾーンのメンテナンス (鍵の再署名や定期的な交換など) が含まれます。BIND では、単一の ECDSAP256SHA 鍵署名を使用する組み込みの default DNSSEC ポリシーを使用できます。ただし、独自の鍵、アルゴリズム、タイミングを使用するには、独自のポリシーを作成してください。
前提条件
-
サーバーに
bindパッケージをインストールした。 - DNSSEC を有効にするゾーンを設定した。
-
namedまたはnamed-chrootサービスが実行されている。 - タイムサーバーと時刻を同期するようにサーバーを設定した。DNSSEC 検証を有効にする前に、必ずシステム時刻が正しいか確認してください。
手順
ゾーンの DNSSEC を有効にするために、
/etc/named.confファイルにdnssec-policy default;とinline-signing yes;を追加します。zone "example.com" { ... dnssec-policy default; inline-signing yes; };BIND をリロードします。
# systemctl reload namedchange-root 環境で BIND を実行する場合は、
systemctl reload named-chrootコマンドを使用してサービスをリロードします。BIND は公開鍵を
/var/named/K<zone_name>.+<algorithm>+<key_ID>.keyファイルに保存します。このファイルを使用して、親ゾーンが必要とする形式でゾーンの公開鍵を表示します。DS レコード形式:
# dnssec-dsfromkey /var/named/Kexample.com.+013+61141.keyexample.com. IN DS 61141 13 2 3E184188CF6D2521EDFDC3F07CFEE8D0195AACBD85E68BAE0620F638B4B1B027DNSKEY 形式:
# grep DNSKEY /var/named/Kexample.com.+013+61141.keyexample.com. 3600 IN DNSKEY 257 3 13 sjzT3jNEp120aSO4mPEHHSkReHUf7AABNnT8hNRTzD5cKMQSjDJin2I3 5CaKVcWO1pm+HltxUEt+X9dfp8OZkg==
- ゾーンの公開鍵を親ゾーンに追加するように要求します。詳しい手順については、お使いのドメインプロバイダーまたはレジストリーにお問い合わせください。
検証
DNSSEC 署名を有効にしたゾーンのレコードについて、独自の DNS サーバーにクエリーを実行します。
# dig +dnssec +short @localhost A www.example.com192.0.2.30 A 13 3 28800 20220718081258 20220705120353 61141 example.com. e7Cfh6GuOBMAWsgsHSVTPh+JJSOI/Y6zctzIuqIU1JqEgOOAfL/Qz474 M0sgi54m1Kmnr2ANBKJN9uvOs5eXYw==この例では、BIND が同じホスト上で稼働しており、
localhostインターフェイスでクエリーに応答することを前提としています。公開鍵が親ゾーンに追加され、他のサーバーに伝播された後、署名済みゾーンへのクエリーに対してサーバーが認証済みデータ (
ad) フラグを設定していることを確認します。# dig @localhost example.com +dnssec... ;; flags: qr rd ra **ad**; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ...
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}