Ръководство за подписване на съдържанието на зоната на домейна uni-sofia.bg

Версия 1.0.1, 18 юни 2008

Веселин Колев, Софийски Университет "Св. Климент Охридски"

Адрес за кореспонденция: vesso AT vesselin.org

Първоизточник: http://www.vesselin.org

Лиценз на документа: CC Attribution-ShareAlike

Съдържание:

1. Увод

2. Скрипт за подписване на съдържанието на зоната на домейна uni-sofia.bg и подготовка на зоналния файл за подписването

3. Процедура по подписване на съдържанието на зоната на домейна uni-sofia.bg

4. Прoверка на успешността на подписването на съдържанието на зоната на домейна uni-sofia.bg

5. Предишни версии на публикацията

1. Увод.

Целта на този документ е да бъде кратко ръководство за подписването на зоната на домейна uni-sofia.bg, която се редактира върху сървъра за имена ns.uni-sofia.bg. С малки промени това ръководство може да се използва за подписване и на други зони на домейни.

2. Скрипт за подписване на съдържанието на зоната на домейна uni-sofia.bg и подготовка на зоналния файл за подписването.

Подписването на съдържанието на зоната на домейна uni-sofia.bg се извършва чрез следния скрипт:

#!/bin/bash

DNSSECDIR="/storage/DNSSEC/uni-sofia.bg"
ZONEDIR="/storage/chroot/named-as5421/var/named"
/usr/sbin/dnssec-signzone -r /dev/urandom \
   -o uni-sofia.bg. -f ${ZONEDIR}/uni-sofia.bg.signed \
   -k ${DNSSECDIR}/KSK/current.key \
   ${ZONEDIR}/uni-sofia.bg \
   ${DNSSECDIR}/ZSK/current.key

който се намира във файла /storage/chroot/named-as5421/DNSSEC/uni-sofia.bg.sign. За да може този скрипт да бъде изпълним, се изпълнява командния ред:

# chmod 755 /storage/chroot/named-as5421/DNSSEC/uni-sofia.bg.sign

Зоналният файл на домейна uni-sofia.bg има пълен път във файловата система на сървъра ns.uni-sofia.bg:

/storage/chroot/named-as5421/var/named/uni-sofia.bg

За да се подготви той за подписване, в края му се прибавят следните редове:

$include "/storage/DNSSEC/uni-sofia.bg/KSK/current.key";
$include "/storage/DNSSEC/uni-sofia.bg/KSK/previous.key";
$include "/storage/DNSSEC/uni-sofia.bg/ZSK/current.key";
$include "/storage/DNSSEC/uni-sofia.bg/ZSK/previous.key";

3. Процедура по подписване на съдържанието на зоната на домейна uni-sofia.bg.

След като промените в зоналния файл на домейна uni-sofia.bg бъдат нанесени и бъде инкрементиран серийния номер, следва проверка на синтаксиса на записите в зоната на домейна:

# cd /storage/chroot/named-as5421/var/named
# named-checkzone uni-sofia.bg uni-sofia.bg

Ако проверката на синтаксиса премине без проблеми, след завършването й ще бъде изведено съобщение подобно на:

zone uni-sofia.bg/IN: loaded serial 2008010300
OK

На последният ред от горния примерен изход, се намира статуса на синтаксиса на зоната след проверката. Ако той е "OK", това значи, че съдържанието на зоната не съдържа синтактични грешки, които да попречат на прочита му от страна на процесите на сървъра за имена. След като проверката на синтаксиса бъде извършена, следва подписване на съдържанието на зоната:

# cd /storage/chroot/named-as5421/DNSSEC
# ./uni-sofia.bg.sign

Съдържанието на скрипта uni-sofia.bg.sign е описано в точка 2 от тази документация. При успешното изпълнение на последния команден ред, съдържанието на зоната е подписано и подписания му вариант може да бъде подаден за прочит на демона named:

# rndc reload uni-sofia.bg

4. Прoверка на успешността на подписването на съдържанието на зоната на домейна uni-sofia.bg.

Проверката на това дали подписването на записите в зоната на домейна uni-sofia.bg е било успешно, може да се извърши с инструмента dig. Най-лесният начин е да се провери подписването на SOA ресурсния запис на зоната:

$ dig @ns.uni-sofia.bg +dnssec +multiline -t soa uni-sofia.bg

Примерен откъс от отговора на горната заявка, чрез който да се извърши анализ е следния:

;; ANSWER SECTION:
uni-sofia.bg.           86400 IN SOA ns.uni-sofia.bg. root.uni-sofia.bg. (
                                2008010300 ; serial
                                3600       ; refresh (1 hour)
                                3600       ; retry (1 hour)
                                3600000    ; expire (5 weeks 6 days 16 hours)
                                36000      ; minimum (10 hours)
                                )
uni-sofia.bg.           86400 IN RRSIG SOA 5 2 86400 20080202171756 (
                                20080103171756 5013 uni-sofia.bg.
                                oDGhgy2/dIz5Vsjry02xicbsw5W8znVCllGg+72aJRkd
                                oXV3o3OANmKmx+2Ue2SegpTnUl2/mDwxAReKCUD+LyYo
                                qYoI0YIXYEb3VW9Co5WLIRNLllmcKeRQFD44YXt/UJdM
                                APP/Sexoa4MDVz3JrddI5ACvO74U/zmJct9FMUk= )

Трябва да се сравни получения сериен номер (2008010300) с този зададен в съдържанието на зоната (виж процедурата в точка 3). Ако се знае и числовия идентификатор на ключа, с който е извършено подписването (за примера това е ключа с идентификатор 5013), може той да се използва като втори репер за проверка. В рамките на отговора са посочени и началната и крайна дата на валидността на електронния подпис върху SOA ресурсния запис: валиден от 20080103171756 - 17 часа 17 минути и 56 секунди на 3 януари 2008 година до 20080202171756 - 17 часа 17 минути и 56 секунди на 2 февруари 2008 година.

Проверката може да се повтори и за другите два сървъра за имена, достоверни за зоната на домейна uni-sofia.bg - ady.uni-sofia.bg и ns.digsys.bg.

5. Предишни версии на публикацията.

• Версия 1.0: [tar.gz] [електронен подпис върху архива]

  Публикувана на: 3 януари 2008г.

Този документ е с OpenPGP подписано съдържание
[информация] [електронен подпис][TimeStamp]