services:dnssec
no way to compare when less than two revisions
Différences
Ci-dessous, les différences entre deux révisions de la page.
— | services:dnssec [2019/04/03 19:47] (Version actuelle) – créée - modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== DNSSEC ====== | ||
+ | Configuration de DNSSEC sur [[machines: | ||
+ | |||
+ | Pour l’installation, | ||
+ | < | ||
+ | |||
+ | ===== Mise à jour de la zone grifon.fr ===== | ||
+ | |||
+ | grifon.fr est signée avec DNSSEC, il y a donc une procédure un peu particulière | ||
+ | à suivre pour mettre à jour la zone. | ||
+ | |||
+ | La zone non signée se trouve dans | ||
+ | < | ||
+ | C’est ce fichier qu’il faut éditer. \\ | ||
+ | Par (bonne) habitude, c’est pas mal d’avoir un serial de la forme AAAAMMJJNN (date-serie), | ||
+ | pour la première modification de la zone le 24 août 2016 ça donne 2016082400, | ||
+ | pour la deuxième 2016082401, pour le 25 2016082500, etc. Si le serial du SOA | ||
+ | n’est pas correctement renseigné, cela risque de perturber la mise à jour de | ||
+ | la zone. En effet, avec la rotation des clés de DNSSEC, la zone est | ||
+ | automatiquement mise à jour par knot. Le serial dans le fichier non | ||
+ | signé n’est donc pas forcément celui servi. | ||
+ | |||
+ | Une fois les modifications faites, il faut demander copier la zone non-signée sur l’ancinne et demander à knot de la resigner : | ||
+ | # cp / | ||
+ | |||
+ | |||
+ | ===== Signatures dans le DNS ===== | ||
+ | |||
+ | ==== TLSA ==== | ||
+ | |||
+ | Nous publions le TLSA de chaque service utilisant un certificat SSL. Cela inclus donc tous les services web et le mail. \\ | ||
+ | Nous partirons du principe que nous utilisons un RR de type '' | ||
+ | < | ||
+ | alarig@gurvant: | ||
+ | F7F8438FC6E2081A00D3337833CBFB89675DCBF018AF8FAFD363A76D9CDBD7312A1D015CEFB4EB8C4082567D24AECA1E575631C0A1BAEC9FC4EF65E39BF104CC | ||
+ | </ | ||
+ | Ce qui amène a écrire '' | ||
+ | |||
+ | Si nous ne voulons publier que la clé publique (par exemple parce que LE renouvelle le certificat tous les trois mois), nous devons utiliser le type '' | ||
+ | ==== SSHFP ==== | ||
+ | |||
+ | Nous publions également les empreintes SSH de nos machines. Ainsi, si le client a l’option '' | ||
+ | Pour générer un enregistrement SSHFP, il faut se connecter sur la machine et taper la commande '' | ||
+ | |||
+ | Avec l’option de vérification des clés dans le DNS, une première connexion ressemble à ça (il est important de noter la ligne « Matching host key fingerprint found in DNS. ») : | ||
+ | < | ||
+ | alarig@pikachu ~ % ssh alarig@gurvant.grifon.fr | ||
+ | The authenticity of host ' | ||
+ | ECDSA key fingerprint is SHA256: | ||
+ | Matching host key fingerprint found in DNS. | ||
+ | Are you sure you want to continue connecting (yes/no)? yes | ||
+ | Warning: Permanently added ' | ||
+ | Enter passphrase for key '/ | ||
+ | </ |
services/dnssec.txt · Dernière modification : 2019/04/03 19:47 de 127.0.0.1