expertenaustausch > comp.os.* > comp.os.unix.networking.misc

Tim Ritberg (06.06.2020, 11:28)
Hi!

Kann man vor der Hinterlegung der Keys in den Rootservern, seine Slaves
auf korrekte Keys testen?

Zu Sicherheit will ich hier noch meine Kommandos zur Signierung zeigen:
1. dnssec-keygen -3 -b 2048 -n ZONE -f KSK -r /dev/urandom mydomain.de
2. dnssec-keygen -3 -b 2048 -n ZONE -r /dev/urandom mydomain.de
3. dnssec-signzone -S -3 `head -c 512 /dev/urandom | sha1sum | cut -b \
1-16` -H 330 -t -o mydomain.de /var/named/mydomain.de

Tim
Ulf Volmer (06.06.2020, 14:38)
Tim Ritberg <tim> schrieb:

> Kann man vor der Hinterlegung der Keys in den Rootservern, seine Slaves
> auf korrekte Keys testen?


Ja, kann man. Am einfachsten wird es sein, wenn Du Deine Domain bei
dnsviz.net reinwirfst.

> 1. dnssec-keygen -3 -b 2048 -n ZONE -f KSK -r /dev/urandom mydomain.de


Ich würde eigentlich kein SHA1 mehr benutzen wollen.

Viele Grüße
Ulf
Tim Ritberg (06.06.2020, 15:28)
Am 06.06.20 um 14:38 schrieb Ulf Volmer:
> Tim Ritberg <tim> schrieb:
> Ja, kann man. Am einfachsten wird es sein, wenn Du Deine Domain bei
> dnsviz.net reinwirfst.
> Ich würde eigentlich kein SHA1 mehr benutzen wollen. Mein 1. Versuch mit SHA512 ist fehlgeschlagen.


Tim
Ulf Volmer (06.06.2020, 15:36)
Tim Ritberg <tim> schrieb:
> Am 06.06.20 um 14:38 schrieb Ulf Volmer:


>> Ich würde eigentlich kein SHA1 mehr benutzen wollen.

> Mein 1. Versuch mit SHA512 ist fehlgeschlagen.


Woran ist es gescheitert? Du brauchst dafür eigentlich nur

dnssec-keygen -a RSASHA512 -b 2048 -n ZONE $DOMAIN
dnssec-keygen -f KSK -a RSASHA512 -b 4096 -n ZONE $DOMAIN

Viele Grüße
Ulf
Ähnliche Themen