DNSSEC met PowerDNS

Telkens zijn er van die sites die een heel verhaal uit leggen met alle honderden opties om iets simpels te bereiken. Zo ook met DNSSec onder PowerDNS.

Na Powerdns geinstalleerd te hebben en de dnssec mogelijkheid mogelijk gemaakt te hebben komt de volgende uitdaging. Wat nu? Wat moet ik doen om een site met dnssec te beveiligen?

Op die vraag probeer ik hier met eenvoudige stappen antwoord op te geven:

– Een website signeren.
/usr/bin/pdnssec secure-zone rsquare.org

-Set de nsec3 standaard in
pdnssec set-nsec3 rsquare.org

-Deze moet je altjd draaien na een wijziging
pdnssec rectify-zone rsquare.org

– Check of een website gesigneerd is.
/usr/bin/pdnssec check-zone rsquare.org

– Export de zone dns key en stuur die naar de tld (sidn b.v.)
/usr/bin/pdnssec export-zone-dnskey rsquare.org 1
Hiermee vind je een KSK en 2 ZSK deze moet je bij je provider invullen.

Hier is een eenvoudig scriptje die de data klaar zet:
#!/bin/sh
# Als parameter geef je de domeinnaam op
#
dom=${1}
tag=`pdnssec show-zone ${dom}|grep tag |grep KSK | awk '{print $7 $10}'`
ksk=`pdnssec show-zone ${dom}|grep DNSKEY | awk '{print $10}'`
echo ${dom},${tag}${ksk}

De volgende stappen ben ik nog mee bezig 🙂