Защищенное делегирование с DNSSEC

Регистратор доменных имен R01 поддерживает делегирование доменов .RU, .SU и .РФ  с использованием технологии DNSSEC.

Для защищенного делегирования домена с DNSSEC необходимо подписать вашу доменную зону. Во время процедуры подписания вам нужно сгенерировать открытый и закрытый ключи и внести открытый ключ в файл с информацией о вашем домене на первичном DNS-сервере. В момент подписи будут сгенерированы строки DNSKEY (keyset) и DS (dsset), которые вам нужно будет перенести в специальную графу формы в личном кабинете R01. В стандартном пакете BIND версии 9 есть все программы для выполнения подобных действий.

Вторичные серверы DNS не требуют над собой никаких действий, однако вам необходимо убедиться, что вторичный сервер также поддерживает DNSSEC. Если нет, вам необходимо активировать поддержку DNSSEC в конфигурационном файле BIND с помощью строки «dnssec-enable yes;».

Предположим, ваш домен — dnssec.su.

Для начала нужно создать 2 пары ключей:

• Первая пара – ZSK (Zone signing key) используется для подписи зонного файла.
  > dnssec-keygen -r/dev/random -a RSASHA1 -b 1024 -n ZONE dnssec.su
  Kdnssec.su.+005+25721
• Вторая пара – KSK (Key signing key) используется для подписи ключа ZSK и формирования DS-записей, которые передаются Администратору родительской зоны.
  dns# dnssec-keygen -r/dev/random -f KSK -a RSASHA1 -b 1024 -n ZONE dnssec.su
  Kdnssec.su.+005.32463

Программа dnssec-keygen выдаст имена файлов созданных ключей. Открытые ключи (в данном случае — содержимое файлов Kdnssec.su.+005+25721.key и Kdnssec.su.+005.32463.key) нужно добавить в зонный файл для домена (обычно он называется так же, как и сам домен).

Затем нужно подписать домен ключом ZSK:
> dnssec-signzone -r /dev/random -o dnssec.su -k Kdnssec.su.+005+32463 dnssec.su Kdnssec.su.+005+25721.key,
где подчеркнутое dnssec.su – это имя зонного файла.

Внимание! Вам нужно будет подписывать зонный файл каждый раз после того, как вы измените информацию о домене.

После подписи зонного файла сформируется его подписанная версия. По умолчанию файл с подписанной зоной называется «имя_зонного_файла» + «.signed». Теперь в /etc/named.conf найдите строчку, отвечающую за имя файла, в котором хранится информация о домене, и добавьте в нее .signed: file «dnssec.su»; → file «dnssec.su.signed»; После этого перезагрузите named.

Теперь осталось интегрировать информацию о ключах в мировую систему DNSSEC. Для этого нужно из файла dsset-dnssec.su., который создаст dnssec-signzone, взять информацию о DS-записи (в файле будет строчка наподобие «dnssec.su. IN DS 29280 5 1 56CFF04E460B0FA4BCC31BDA08CFB4A98FF5140D») и всю запись, которая идет после DS, поместить в соответствующие поля

• ID ключа (keytag)
• Алгоритм подписи
• Тип дайджеста
• Дайджест

в описании вашего домена в пользовательском веб-интерфейсе R01.

В полях

• Протокол ключа
• Алгоритм ключа
• Публичный ключ

необходимо указать информацию из файла keyset-dnssec.su (все, что идет после типа ключа — он всегда равен 257) — выделено жирным.

Примерно через 6 часов ваш домен будет защищен протоколом DNSSEC.