DNS: Difference between revisions

From Elch-Wiki
Jump to navigationJump to search
No edit summary
No edit summary
 
(11 intermediate revisions by the same user not shown)
Line 10: Line 10:
* Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
* Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
* Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
* Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
* Zusätzliche DNS Records (z.b. für einen zus. Host oder eine zus. IP): /var/named/mybabey.ch/zone.db editieren




Line 32: Line 34:




= Key Rollover: Step by Step Anleitung =
= Offenen DNS-Resolver von trash.net nutzen =
# Ankündigung von Techstaff, dass Key-Rollover gemacht wird. Bekanntgabe des Zeitpunkts an welchem bei Switch der neue Key bestätigt werden muss (Beispiel-Mail s. unten).
Siehe Artikel auf trash.net
# Login auf https://www.nic.ch/
# Die zu bearbeitende Domain auswählen (Schloss beim Status) [[File:Dnssec_key_rollover_1.png]]
# Auf den Button DNSSEC klicken [[File:Dnssec_key_rollover_2.png]]
# Option "DNSSEC aktivieren, Schlüssel ändern" auswählen und "Weiter" klicken [[File:Dnssec_key_rollover_3.png]]
# Den alten Key abwählen, den neuen anwählen [[File:Dnssec_key_rollover_4.png]]
# Zusammenfassung mit "Speichern" abschliesen [[File:Dnssec_key_rollover_5.png]]
# Rückmeldung an Techstaff dass der Keywechsel gemacht wurde.


== Beispiel-Mail Ankündigung Key Rollover ==
Hallo Roman,


die Lebenszeit des KSK (Key Signing Keys) - 1 Jahr - ist abgelaufen. Ich
= Key Rollover: Step by Step Anleitung =
habe deshalb einen Key-Rollover gestartet.
Siehe Artiekl auf trash.net
 
Im ersten Schritt ist der neue KSK mit der ID xxxx erzeugt worden. Der alte
hat die ID yyy. Wir müssen jetzt warten, bis der neue Key in der Zone als
Eintrag geladen und verbreitet ist. Dann leite ich den zweiten Schritt ein.
 
Im zweiten Schritt wird auch der neue KSK für das Signing des ZSK verwendet.
Dann musst du warten bis der DS bei Switch den neuen Key enthält und dann
musst du statt des alten KSK den neuen KSK auswählen.
 
Im dritten Schritt wird der alte KSK in der Zone gelöscht und wird dann
nicht mehr für Signing des ZSK verwendet.
 
Ich gebe dir wieder Bescheid, wenn ich den zweiten Schritt eingeleitet habe
(heute oder morgen). Du solltest in der Zwischenzeit sicherstellen, dass du
Zugang zum Switch-Portal hast um die Änderung durchführen zu können.
 
Gruss, Othmar
 
== Beispiel-Mail Key-Rollover beim Registrat auslösen ==
Hallo Roman,


Es ist jetzt soweit, du solltest jetzt auf den neuen KSK wechseln.
= [https://unbound.net/ unbound] auf fish-serv =
* Installation via yast (unbound zieht ldns, libldns1, libunbound2 und unbound-anchor nach)
* /etc/unbound/unbound.conf und etc/unbound/conf.d/01_CacheForwarder.conf anpassen
* service unbound start
* Service im yast enablen
* [https://www.trash.net/wissen/dnssec/dns-over-tls-einrichten/ Anleitung auf trash.net]
* [https://unbound.docs.nlnetlabs.nl/en/latest/manpages/unbound.conf.html Unbound Config Optionen]


Es ist tatsächlich nicht ganz trivial den entsprechenden Bearbeitungsweg zu
= Troubleshooting =
finden. Besonders wenn man es nur einmal im Jahr machen muss. Klar ist, dass
* Ab dig Version 9.17 ganz einfach: dig @resolv1.trash.net +https www.swisssign.com (Frank B.)
es zuerst die Zone ausgewählt werden muss um sie anschliessend zu
* Testen ob der TLS Listener antwortet: openssl s_client -connect resolv1.trash.net:853 (Othmar)
bearbeiten. Im nächsten Screen gibt es den Button "DNSSEC" und danach kann
* DNS over HTTP: curl mit --doh-url (Thomas)
man sich entscheiden, DNSSEC ganz zu deaktivieren oder eben die Schlüssel zu
* DNS over TLS: kdig vom Knot DNS (Thomas)
ändern. Während des Rollovers müsste man dann zwei zur Auswahl haben, wo man
* 20240611: Fehler "error: error opening file /etc/unbound/keys.d/example.com.key: Permission denied" -> chmod -R 777 /etc/unbound/keys.d => Läuft wieder
dann den neuen auswählen sollte. Dieser Schritt muss unbedingt passieren,
bevor der alte Schlüssel in der Zone selbst nicht mehr verwendet wird, sonst
gibt es keine vertrauenswürdige Kette mehr.


Gruss, Othmar
= EU Resolver =
* [https://www.joindns4.eu/for-public Join DNS 4 EU]

Latest revision as of 11:48, 15 June 2025

DNS auf trash.net hosten

  • Es gibt zwei unterschiedliche DNS-Server auf trash.net: DJBDNS und BIND
  • Falls DNSSEC gewünscht wird, dann muss BIND verwendet werden
  • Je nach gewähltem DNS-Server muss ein Zone-File erstellt werden
  • Falls ein dynamischer Update der IP-Adresse im Stil von dyndns gewünscht wird: Dynamic DNS
  • Kontakt mit techstaff@trash.net aufnehmen und Hosting der Domain beantragen. Dazu das Zone-File mitgeben
  • Beim Registrar (switch.ch für alle .ch Domains) die DNS-Server auf dnssec1.trash.net und dnssec2.trash.net einstellen
  • Beim Registrar ggf. DNSSEC aktivieren (Schlüssel muss akzeptiert werden)
  • Zusätzliche DNS Records (z.b. für einen zus. Host oder eine zus. IP): /var/named/mybabey.ch/zone.db editieren


Sample Zone-File

$TTL 3600
mybabey.ch.		2560	IN	SOA	dnssec1.trash.net. hostmaster.mybabey.ch. (
						2011050301 ; serial
						16384
						2048
						1048576
						2560
						)
mybabey.ch.		259200	IN	NS	dnssec1.trash.net.
mybabey.ch.		259200	IN	NS	dnssec2.trash.net.
mybabey.ch.		86400	IN	MX	10 mybabey.ch.
mybabey.ch.		300	IN	A	217.162.73.239
ftp.mybabey.ch.		86400	IN	CNAME	mybabey.ch.
www.mybabey.ch.		86400	IN	CNAME	mybabey.ch.
$include dnskey.db


Offenen DNS-Resolver von trash.net nutzen

Siehe Artikel auf trash.net


Key Rollover: Step by Step Anleitung

Siehe Artiekl auf trash.net

unbound auf fish-serv

  • Installation via yast (unbound zieht ldns, libldns1, libunbound2 und unbound-anchor nach)
  • /etc/unbound/unbound.conf und etc/unbound/conf.d/01_CacheForwarder.conf anpassen
  • service unbound start
  • Service im yast enablen
  • Anleitung auf trash.net
  • Unbound Config Optionen

Troubleshooting

  • Ab dig Version 9.17 ganz einfach: dig @resolv1.trash.net +https www.swisssign.com (Frank B.)
  • Testen ob der TLS Listener antwortet: openssl s_client -connect resolv1.trash.net:853 (Othmar)
  • DNS over HTTP: curl mit --doh-url (Thomas)
  • DNS over TLS: kdig vom Knot DNS (Thomas)
  • 20240611: Fehler "error: error opening file /etc/unbound/keys.d/example.com.key: Permission denied" -> chmod -R 777 /etc/unbound/keys.d => Läuft wieder

EU Resolver

Retrieved from "https://mybabey.ch/wiki/index.php?title=DNS&oldid=5882"