Sur cette page
Exemple : Configuration de domaines sécurisés et de clés de confiance pour DNSSEC
Cet exemple montre comment configurer des domaines sécurisés et des clés de confiance pour DNSSEC.
Conditions préalables
Définissez l’adresse IP du serveur de nom afin que le résolveur DNS transfère toutes les requêtes DNS vers DNSSEC au lieu de DNS. Voir l’exemple : Configurer DNSSEC pour plus d’informations.
Présentation
Vous pouvez configurer des domaines sécurisés et attribuer des clés de confiance aux domaines. Les réponses signées et non signées peuvent être validées lorsque DNSSEC est activé.
Lorsque vous configurez un domaine en tant que domaine sécurisé et que DNSSEC est activé, toutes les réponses non signées de ce domaine sont ignorées et le serveur renvoie un code d’erreur SERVFAIL au client pour les réponses non signées. Si le domaine n’est pas configuré en tant que domaine sécurisé, les réponses non signées seront acceptées.
Lorsque le serveur reçoit une réponse signée, il vérifie si la clé DNSKEY de la réponse correspond à l’une des clés de confiance configurées. S’il trouve une correspondance, le serveur accepte la réponse signée.
Vous pouvez également joindre une zone racine DNS en tant qu’ancre de confiance à un domaine sécurisé pour valider les réponses signées. Lorsque le serveur reçoit une réponse signée, il interroge la zone racine DNS pour obtenir un enregistrement DS. Lorsqu’il reçoit l’enregistrement DS, il vérifie si le DNSKEY de l’enregistrement DS correspond au DNSKEY dans la réponse signée. S’il trouve une correspondance, le serveur accepte la réponse signée.
topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Procédure étape par étape
Pour configurer des domaines sécurisés et des clés de confiance pour DNSSEC :
Configurez domain1.net et domain2.net en tant que domaines sécurisés.
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
Configurez les clés de confiance pour domain1.net.
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
Attachez une zone racine div.isc.org en tant qu’ancre de confiance à un domaine sécurisé.
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show system services commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
dns {
dnssec {
trusted-keys {
key domain1.net.ABC123ABCh; ## SECRET-DATA
}
dlv {
domain domain2.net trusted-anchor dlv.isc.org;
}
secure-domains {
domain1.net;
domain2.net;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.