[LUG-RT] Vielleicht interessiert es jemanden

Haiko Hoedl hoedl at gmx.de
Do Mai 12 07:47:07 CEST 2016 

Hallo Frank,

Danke für die Wissensteilung. :-)

-- 
Gruß
H a ! k o



Nachricht vom Dienstag, 10. Mai 2016, 19:25:00 Uhr:

KI> Hallo Liste,

KI> ich habe mich in den letzten Tagen mit der Sicherheit meiner Mailserver
KI> beschäftigt. Der Zugriff über TLS/SSL oder STARTTLS hatte schon
KI> funktioniert, jetzt war es daran, "perfect forward secrecy" zu
KI> gewährleisten. Da ich spamdyke benutze, war dort der Eintrag der
KI> erstellten Zertifikate wie auch der Eintrag für den privaten Schlüssel
KI> notwendig. Danach hat auch pfs funktioniert.
KI> Jetzt wollte ich auch noch DANE zum Laufen bringen. Dazu jetzt die
KI> Schritte, die für den DNSSEC nötig waren:

KI> 1) Hash aus Zertifikat erstellen
KI>     -> openssl x509 -in >.crt -outform DER | openssl sha256
KI>     -> die Ausgabe kopieren
KI>     -> in der Zonendatei folgenden Eintrag hinzufügen
KI>         --> _25._tcp.mail.kowalkowski.org. IN TLSA (3 0 1 
HASH>>>) (3 = DANE-EE, 0 = HASH der Zertifikats, 1 = HASH Algorithmus)

KI> 2) Zertifikate für Domäne erstellen
KI>     -> dnssec-keygen -3 -a RSASHA512 -b 4096 -n ZONE >
KI> erstellt das Schlüsselpaar für den Zone-Signing-Key (ZSK)
KI>     -> dnssec-keygen -a RSASHA512 -b 2560 -f KSK -n ZONE >
KI> erstellt das Schlüsselppar für den Key-Sighning-Key (KSK)

KI> 3) Zertifikate in die Zonendatei einbinden
KI>     -> die vier entstandenen Dateien mit den Namen z.B.
KI> K.+010+12345.key/private und
KI> K.+010+54321.key/private ins Verzeichnis /var/named/dynamic
KI> kopieren und für named lesbar machen
KI>     -> in die Zonendatei mit $INCLUDE die .key Dateien einbinden
 
KI> 4) in bind dnssec einschalten
KI>      -> in der named.conf Datei ändern/eintragen
KI>         -> dnssec-enable yes;
KI>             dnssec-validation yes;
KI>             dnssec-lookaside auto;

KI> 5) Sind die Vorbereitungen bis hierher abgeschlossen, wird in das
KI> Verzeichnis gewechselt, in welchem sich die Zonen-Dateien befinden (im
KI> Beispiel /var/named)

KI> 6) Signieren der Zone
KI>     -> dnssec-signzone -3 `head -c 512 /dev/urandom | sha1sum | cut -b
KI> 1-16` -H 330 -K  -t -o 
KI>  (-K Option nur notwendig, wenn Schlüssel im anderen
KI> Verzeichnis liegen)
KI>     -> bei korrekter Durchführung wird eine Datei mit der Endung .signed
KI> erstellt.
KI>     -> Datei für Bind lesbar machen

KI> 7) in der Konfigurationsdatei von bind für Domänen den Eintrag für
KI>  anpassen
KI>     -> zone "" {
KI>         type master;
KI>         file "";
KI>         key-directory "/var/named/dynamic";
KI>         update-policy {
KI>           grant  name  A AAAA;
KI>         };
KI>         auto-dnssec maintain;
KI>         allow-query { ANY; };
KI>         };

KI> 8) bind neu starten

KI> 9) Schlüssel in der KSK key - Datei kopieren

KI> 10) Schlüssel beim Registrar im korrekten Format eintragen

KI> Die Erklärung mag an manchen Stellen nicht ganz klar sein, es gibt im
KI> Internet auch verschiedene Anleitungen mit durchaus verschiedenen Wegen.
KI> Wenn man aber sicher gehen will, dass später DANE funktioniert, ist es
KI> wichtig, beide Schlüsselpaare mit RSASHA512 zu erstellen. Ich habe bei
KI> meinen Tests die unterschiedlichsten Fehler in Bezug auf DNSSEC
KI> bekommen, alle waren im Endeffekt ein Problem mit dem Algorithmus der
KI> erstellten Schlüssel oder den eingetragenen NS in der Zonen-Datei.

KI> So, vielleicht hat jemand von uns Nutzen an der Anleitung,

KI> Grüße Frank
 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://listen.4m2.net/pipermail/liste/attachments/20160512/e956ff3f/attachment.html>

More information about the liste mailing list