Auf dieser Seite
Beispiel: Konfigurieren von sicheren Domänen und vertrauenswürdigen Schlüsseln für DNSSEC
In diesem Beispiel wird gezeigt, wie sichere Domänen und vertrauenswürdige Schlüssel für DNSSEC konfiguriert werden.
Anforderungen
Legen Sie die IP-Adresse des Nameservers so fest, dass der DNS-Resolver alle DNS-Anfragen an DNSSEC statt an DNS weiterleitet. Siehe Beispiel: Weitere Informationen finden Sie unter Konfigurieren von DNSSEC .
Überblick
Sie können sichere Domänen konfigurieren und den Domänen vertrauenswürdige Schlüssel zuweisen. Sowohl signierte als auch unsignierte Antworten können validiert werden, wenn DNSSEC aktiviert ist.
Wenn Sie eine Domäne als sichere Domäne konfigurieren und DNSSEC aktiviert ist, werden alle nicht signierten Antworten an diese Domäne ignoriert, und der Server gibt für die unsignierten Antworten einen SERVFAIL-Fehlercode an den Client zurück. Wenn die Domäne nicht als sichere Domäne konfiguriert ist, werden nicht signierte Antworten akzeptiert.
Wenn der Server eine signierte Antwort empfängt, prüft er, ob der DNSKEY in der Antwort mit einem der konfigurierten vertrauenswürdigen Schlüssel übereinstimmt. Wenn eine Übereinstimmung gefunden wird, akzeptiert der Server die signierte Antwort.
Sie können auch eine DNS-Stammzone als vertrauenswürdigen Anker an eine sichere Domäne anfügen, um die signierten Antworten zu überprüfen. Wenn der Server eine signierte Antwort empfängt, fragt er die DNS-Stammzone nach einem DS-Eintrag ab. Wenn der DS-Eintrag empfangen wird, prüft er, ob der DNSKEY im DS-Eintrag mit dem DNSKEY in der signierten Antwort übereinstimmt. Wenn eine Übereinstimmung gefunden wird, akzeptiert der Server die signierte Antwort.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Schritt-für-Schritt-Anleitung
So konfigurieren Sie sichere Domänen und vertrauenswürdige Schlüssel für DNSSEC:
Konfigurieren Sie domain1.net und domain2.net als sichere Domänen.
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
Konfigurieren Sie vertrauenswürdige Schlüssel für domain1.net.
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
Hängen Sie eine Stammzone div.isc.org als vertrauenswürdigen Anker an eine sichere Domäne an.
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system services Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
dns {
dnssec {
trusted-keys {
key domain1.net.ABC123ABCh; ## SECRET-DATA
}
dlv {
domain domain2.net trusted-anchor dlv.isc.org;
}
secure-domains {
domain1.net;
domain2.net;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .