Nu da DK-Hostmaster har åbnet op for DNSSEC på .dk domæner var det måske rart med en vejledning. Her klippet fra mit
blogindlæg på version2.dk
Krav: Godt kendskab til DNS. Har installeret
ldns fra NLnet Labs (pakken hedder 'ldnsutils' i Debian).
Havde det været et .se domæne så havde GratisDNS kunnet klare det hele. Med DK-Hostmaster skal jeg selv have snavsede fingre. Det vil sige at jeg skal slå en række DNSKEY records op på GratisDNS's navneservere, vælge den rigtige nøgle, konvertere den til DS-format og endelig uploade den hos DK-Hostmaster.
For at starte i midten, så har jeg fundet et værktøj der konvertere fra DNSKEY-records til DS-records. Som en del af NLnet Labs' ldns-projekt findes værktøjet 'ldns-key2ds' som gør netop dette. Men som en del af samme projekt findes en 'dig' klon 'drill' der automatisk kan oversætte DNSKEY-records til DS-records.
Så, brug 'drill' til at slå DNSKEY records op for mit domæne:
$ drill -s DNSKEY hacking.dk @ns1.gratisdns.dk
[...]
;; ANSWER SECTION:
hacking.dk. 43200 IN DNSKEY 257 3 5 AwEAAa/WYzGybI3ZaDXVFZfaK/KkGvXLIHtOJj/8A0a0JqeO+3gPT9CZVRoX5Cx27lV1utyMSaQOpfcWtlPXCrZSYLE= ;{id = 44068 (ksk), size = 512b}
hacking.dk. 43200 IN DNSKEY 256 3 5 AwEAAcwQic5V2V2NwQPlA4xF65ZdQoXdqavsNmNT65d2Sb6VpEaxEx8SC+89EI/wmqG00gUirPnyeT3gZXpnAAbVBo0= ;{id = 33825 (zsk), size = 512b}
[...]
; hacking.dk. 43200 IN DS 44068 5 1 19b64fa4b782613db8ce639fbe0618f6e1051211 ; xeker-kofop-gotum-demif-tuvis-vymyn-zuzeb-kikoz-kemib-hugoc-cexix
; hacking.dk. 43200 IN DS 33825 5 1 f3f3fd7058087b3462151c8d6c0df87d0b4ba5bd ; xusoz-fizel-bekab-mevyf-gimic-hulum-tureb-tevol-todeg-renar-texex
En DNSKEY record indeholder en række felter: Først en 16bit værdi med flag, så et protokol-felt (der altid skal være 3), så en angivelse af algoritmen (her nummer 1) og endelig selve nøglen. Derudover er drill så venlig at hive et nøgle-id ud og sætte det ind i et kommentar.
Den nøgle vi skal have fat i er den med den mindst-betydende bit sat i flag-feltet (altså hvor værdien er ulige). Det betyder 'Secure Entry Point' og er den nøgle som resten af zonens nøgler er signeret med. I kommentaren kalder drill den også for 'ksk' (Key signing key). Vi er altså interesseret i nøglen med id 44068.
En DS-record indeholder et nøgle-id, algoritmen brugt til selve nøglen (her 5), algoritmen brugt til at generere signaturen (her 1) og endelig selve signaturen. Det er linjen med DS-recorden med for nøgle-id 44068 vi skal have sat ind i DK-Hostmasters zone-fil.
Så fat dit handle og din adgangskode til DK-Hostmasters selvbetjeningssystem og vælg menupunktet 'DNSSEC nøgle(r)'. Har man mange domæner er webgrænseflader besværlige og ifølge DK-Hostmaster skal man være XML-entusiast for at kunne drømme om at bruge standarden som alle moderne registrys bruger. Så heldigvis har DK-Hostmaster udviklet deres egen protokol
DSU for HTTP-entusiaster der heller vil parse ikke-standard HTTP-headere.
