Vous êtes sur la page 1sur 11

Como congurar DNSSEC em seu dominio

David Robert Camargo de Campos Rafael Dantas Justo


<tutorial-dnssec@registro.br> Registro.br

1 verso 1.5.0 (Revision: 7419 ) a A ultima verso deste tutorial pode ser encontrada em: ftp://ftp.registro.br/pub/doc/conguracao dnssec dominio.pdf a 1/1

Objetivo

O objetivo deste tutorial implantar DNSSEC no servidor autoritativo e para determinado dominio Todas as operaes sero executadas no servidor principal (Master) co a

Requisitos
Bind 9.7 http://www.isc.org/downloads

2/1

Passo 1 Criao de Chaves ca

Utilizao do comando dnssec-keygen para gerao de chaves: ca ca


$ dnssec-keygen -r /dev/urandom -f KSK -a RSASHA1 -b 1024 -n ZONE dominio.com.br

Onde, dominio.com.br deve ser substitu pelo seu dom do nio. - O comando ir gerar dois arquivos com extenses .key e .private a o
Mais informaes podem ser encontradas no Tutorial de DNSSEC co

3/1

Passo 2 Assinar o dom (arquivo de zona) nio

Utilizao do comando dnssec-signzone para assinatura ca


$ dnssec-signzone -S -z -o dominio.com.br db.dominio.com.br

Onde, dominio.com.br deve ser substitu pelo nome do dom e do nio db.dominio.com.br pelo nome do arquivo de zona.
- O comando ir gerar um novo arquivo de zona com a extenso .signed a a - O per odo de validade padro da assinatura de 30 dias a e
Mais informaes podem ser encontradas no Tutorial de DNSSEC co

4/1

Passo 3 Atualizao do named.conf ca

Alterao da referncia para o arquivo de zona ca e


zone "dominio.com.br" { type master; file "/etc/namedb/db.dominio.com.br.signed"; ... };

Onde, dominio.com.br deve ser substitu pelo nome do dom e do nio db.dominio.com.br deve ser substitu pelo nome do arquivo de zona. do

5/1

Passo 4 Reiniciar o Bind

Reiniciar o Bind

6/1

Passo 5 Adicionar o DS no site do Registro.br


Copiar os dados de KeyTag e Digest do arquivo dsset-dominio.com.br para a interface no site do Registro.br. Exemplo: $ cat dsset-dominio.com.br.| head -1
dominio.com.br IN DS KeyTag 15469 5 1 Digest 5EC0184678E0B7DC3AACFFA5D0EB9DBA1F3F6C37

- Onde, dominio.com.br deve ser substitu pelo nome do dom do nio

7/1

Passo 6 Aguardar nova publicao ca

Aguardar nova publicao no site do Registro.br ca

8/1

Roteiro Congurar um Servidor Autoritativo

1 2 3 4 5 6

Criar chave (dnssec-keygen)

(slide ??) (slide ??)

Assinar a zona (dnssec-signzone) Modicar o named.conf


(slide ??)

Reiniciar o BIND (named) no servidores Master Adicionar o DS no site do Registro.br Aguardar nova publicao ca
(slide ??)

9/1

Informaes Importantes co

Servidor Autoritativo
Reassinar a zona antes das assinaturas expirarem
1 2

Incrementar o serial (record SOA) do arquivo de zona original Reassinar a zona utilizando o comando dnssec-signzone

10 / 1

Perguntas?
http://registro.br/suporte/tutoriais/dnssec.html Envie suas dvidas para tutorial-dnssec@registro.br u
11 / 1