DNSSEC Aktivieren


Von Roman (romanf auf trash.net)


Abhängig davon, welchen Registrar du nach dem Wechsel von Switch gewählt hast, verläuft die Aktivierung von DNSSEC unterschiedlich. Der Domain-Wechsel vereinfacht sich, wenn du DNSSEC vor dem Wechsel deaktivierst und erst nachher beim neuen Registrar aktivierst.

Zum Testen, ob DNSSEC richtig läuft, kann man z.B. den DNSSEC-Debugger der Verisign Labs verwenden.
Heise Netze unterhält eine Liste von Registraren/Hostern, welche DNSSEC anbieten: Hoster und Registrare mit DNSSEC-Diensten

iWay.ch

  • DS Key-ID = Wert hinter DS aus dem dsset File
  • DS Record Digest Type = "SHA1-1 (1)" auswählen
  • DS Record Algorithmus = "RSA-SHA1-NSEC3 (7)" auswählen
  • DS Digest = Letzten Wert der ersten Zeile aus dem dsset File (kürzerer der zwei langen Strings)

 

Technische Hintergrundinfo

Die folgenden Angaben treffen nur zu, falls deine Domain auf trash.net gehostet wird!

Du findest dein dsset-File auf trash.net unter /var/named/<deine-domain>/dsset-<deine-domain>.
Es enthält zwei Zeilen:

<deine-domain>.             IN DS 1234 7 1 8A312345406276D830684DC2D1279BD595F7CD34
<deine-domain>.             IN DS 1234 7 2 A4E1234541669E2D20E982104EC412345E3F4B6560353FE3618A8FB0 77DD88C2

Alle Daten sind im dsset-File enthalten, weil im Normalfall einfach dieses File an den Administrator der Parentzone geliefert wird.
Wir signieren bei trash.net mit NSEC3RSASHA1 (Algorithm ID 7)

Zur Filedefinition:

  • Key Tag: vierte Kolonne im Beispiel 1234
  • Algorithm: fünfte Kolonne im Beispiel 7 für NSEC3RSASHA1
  • Digest Type: Entweder 1 für SHA-1 oder 2 for SHA-256. Sechste Kolonne erste Zeile 1 und in der zweiten Zeile 2
  • Digest: Der letzte String in der Zeile. Hinweis: der Abstand zwischen den beiden Strings muss normalerweise bei der Verwendung entfernt werden.