Sur cette page
Exemple : Configuration des domaines sécurisés et des clés de confiance pour DNSSEC
Cet exemple montre comment configurer des domaines sécurisés et des clés de confiance pour DNSSEC.
Conditions préalables
Définissez l’adresse IP du serveur de noms afin que le résolveur DNS transfère toutes les requêtes DNS à DNSSEC au lieu de DNS. Voir l’exemple : Configuration de DNSSEC pour plus d’informations.
Présentation
Vous pouvez configurer des domaines sécurisés et leur attribuer des clés de confiance. Les réponses signées et non signées peuvent être validées lorsque DNSSEC est activé.
Lorsque vous configurez un domaine en tant que domaine sécurisé et que DNSSEC est activé, toutes les réponses non signées à ce domaine sont ignorées et le serveur renvoie un code d’erreur SERVFAIL au client pour les réponses non signées. Si le domaine n’est pas configuré en tant que domaine sécurisé, les réponses non signées seront acceptées.
Lorsque le serveur reçoit une réponse signée, il vérifie si la clé DNS de la réponse correspond à l’une des clés approuvées configurées. S’il trouve une correspondance, le serveur accepte la réponse signée.
Vous pouvez également attacher une zone racine DNS en tant qu’ancre approuvée à un domaine sécurisé pour valider les réponses signées. Lorsque le serveur reçoit une réponse signée, il interroge la zone racine DNS à la recherche d’un enregistrement DS. Lorsqu’il reçoit l’enregistrement DS, il vérifie si la clé DNS de l’enregistrement DS correspond à la clé DNS de la réponse signée. S’il trouve une correspondance, le serveur accepte la réponse signée.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Procédure étape par étape
Pour configurer les domaines sécurisés et les clés de confiance pour DNSSEC :
Configurez domain1.net et domain2.net en tant que domaines sécurisés.
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
Configurez des clés de confiance pour domain1.net.
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
Attachez une zone racine div.isc.org en tant qu’ancre approuvée à un domaine sécurisé.
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show system services
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
dns { dnssec { trusted-keys { key domain1.net.ABC123ABCh; ## SECRET-DATA } dlv { domain domain2.net trusted-anchor dlv.isc.org; } secure-domains { domain1.net; domain2.net; } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.