ICT基盤推進課
Blackboard@Tamagawa
ITサポートデスク
学生Webメール

DNSSEC運用情報

※平成23年2月22日時点
パラメータはJPゾーン(jprsサイト)を参考としておりますが、
ZSKの鍵使用期間は2ヶ月、NSEC3のTTLは1時間となっております。
署名の有効期間は3週間(少々長め)、再署名は10日間隔です。
dnssec-keygen、dnssec-signzoneをwrapperしたスクリプトで cron による自動運転です。
ただし、レコード追加時の再署名と、KSK更新は手動です。

※平成23年1月20日より
 tamagawagakuen.jp、 tamagawa-gakuen.jp のDNSSEC署名検証が有効。
※平成23年2月22日より
 tamagawa.jp のDNSSEC署名検証が有効。
※平成24年2月中旬日
 tamagawa.jp(他2ドメイン)のKSKロールオーバ実施。
:
※令和4年12月中旬日
 InternetWeek2022 / DNS day のレクチャーにより、
 (先ずは) NSEC3 の iteration を 0 に、salt を - に変更。
※令和6年2月中旬日
 tamagawa.jp(他2ドメイン)のKSKロールオーバ実施。

テスト用rootゾーンDNSサーバ

192.168.160.238/work.tamagawa.ac.jp のサーバで構築

初期環境の設定

/bin/tar zxf bind-9.7.2-P2.tar.gz
cd bind-9.7.2-P2
./configure; /usr/bin/make; /usr/bin/make install
/bin/mkdir -p /usr/local/DNS/var
/bin/chown bind /usr/local/DNS/var
cd /usr/local/DNS
/bin/cat > named.conf

options {
	directory	"/usr/local/DNS";
	pid-file	"var/named.pid";
	allow-query	{ any; };
};
zone "."		{ type master;  file "root"; };

/bin/cat > root

$TTL 3600
@			IN SOA	localhost. postmaster.localhost. (
				1000000001
				3600
				1800
				604800
				3600 )
			IN NS	work.tamagawa.ac.jp.
work.tamagawa.ac.jp.	IN A	192.168.160.238

/usr/local/sbin/named -u bind -c /usr/local/DNS/named.conf
/usr/local/bin/dig @127.0.0.1 . NS (等、一応動作確認)

rootゾーンの署名

/usr/local/sbin/dnssec-keygen -a RSASHA256 -r /dev/urandom -b 2048 -f KSK . > ksk-root
/usr/local/sbin/dnssec-keygen -a RSASHA256 -r /dev/urandom -b 1024 . > zsk-root
/bin/cat `/bin/cat ksk-root`.key `/bin/cat zsk-root`.key > root.keys
/bin/vi root

$TTL 3600 の行の下に下記を入れる
$INCLUDE root.keys

/usr/local/sbin/dnssec-signzone -N unixtime -3 ABCDEF -s 20101001000000 -e +15552000 -k `/bin/cat ksk-root`.private -o . root `/bin/cat zsk-root`.private
(-3, -s, -e の値は適時変更)
/bin/vi named.conf

zone "." の行のfileを下記に修正する
file "root.signed";

kill -HUP `/bin/cat /usr/local/DNS/var/named.pid`
/usr/local/bin/dig +dnssec @127.0.0.1 . DNSKEY (等、一応動作確認)

玉川大学の署名済みゾーン情報を追記し再署名

/bin/cat >> root
※テスト時の値です。

postroot.tamagawa.ac.jp. IN A	202.253.199.56
nextroot.tamagawa.ac.jp. IN A	211.18.248.123
tamagawa.jp.		IN NS	postroot.tamagawa.ac.jp.
tamagawa.jp.		IN NS	nextroot.tamagawa.ac.jp.
tamagawagakuen.jp.	IN NS	postroot.tamagawa.ac.jp.
tamagawagakuen.jp.	IN NS	nextroot.tamagawa.ac.jp.
tamagawa-gakune.jp.	IN NS	postroot.tamagawa.ac.jp.
tamagawa-gakuen.jp.	IN NS	nextroot.tamagawa.ac.jp.
tamagawa.jp.		IN DS 51847 8 1 16DDBD3C866D97D934A8C143749307ED10495C9E
tamagawa.jp.		IN DS 51847 8 2 C4C917425B4B0356550E55885936911CB79D99C83E3F5EBADD3C7D54 5259B623
tamagawagakuen.jp.	IN DS 41980 8 1 7FDD3A542D1770630244AB629909271118321B9B
tamagawagakuen.jp.	IN DS 41980 8 2 86EA7A59C4386B75C093763D832AB1A6AECB67AB77EA235097B16288 F2CBF4FF
tamagawa-gakuen.jp.	IN DS  1861 8 1 15CE1DC460F046CC733611D939A888A9F81E4780
tamagawa-gakuen.jp.	IN DS  1861 8 2 BD2392CF294A8FB6C440D3B8A092F5E781217E61D5BFE9828EF27292 F450989A

/usr/local/sbin/dnssec-signzone -N unixtime -3 FEDCBA -s 20101001000000 -e +15552000 -k `/bin/cat ksk-root`.private -o . root `/bin/cat zsk-root`.private
(-3, -s, -e の値は適時変更)
kill -HUP `/bin/cat /usr/local/DNS/var/named.pid`
/usr/local/bin/dig +dnssec @127.0.0.1 tamagawa.jp DS (等、一応動作確認)

テスト用キャッシュDNSサーバ

初期環境の設定

/bin/tar zxf bind-9.7.2-P2.tar.gz
cd bind-9.7.2-P2
./configure; /usr/bin/make; /usr/bin/make install
/bin/mkdir -p /usr/local/DNS/var
/bin/chown bind /usr/local/DNS/var
cd /usr/local/DNS
/bin/cat > named.conf

options {
	directory	"/usr/local/DNS";
	pid-file	"var/named.pid";
	allow-query	{ any; };
	allow-recursion	{ any; };
};
include	"trusted-keys";
zone "."		{ type hint;	file "root.cache"; };

/bin/cat > root.cache

.			3600000	IN  NS	work.tamagawa.ac.jp.
work.tamagawa.ac.jp.	3600000	A	192.168.160.238

/bin/cat > trusted-keys

trusted-keys {
   .  257 3 8 "*******************************************************";
};

上記の******は、テスト用rootゾーンDNSサーバ における下記の実行結果を適用
cd /usr/local/DNS; /bin/cat `/bin/cat ksk-root`.key | /bin/grep DNSKEY | /bin/cut -d " " -f7- | /usr/bin/tr -d ' '

/usr/local/sbin/named -u bind -c /usr/local/DNS/named.conf
/usr/local/bin/dig +dnssec +multiline @127.0.0.1 www.tamagawa.jp A (等、一応動作確認、結果は下記)

; <<>> DiG 9.7.2-P2 <<>> +dnssec +multiline @127.0.0.1 www.tamagawa.jp A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37670
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.tamagawa.jp.       IN A

;; ANSWER SECTION:
www.tamagawa.jp.        86400 IN A 211.18.248.123
www.tamagawa.jp.        86400 IN RRSIG A 8 3 86400 20101125000000 (
                                20101104000000 14286 tamagawa.jp.
                                U/shtsfP5TfMll6HQP76sQfSqudZY+Mt/pe6lFpf7nFP
                                uxc/imlU+voey43G3tLiQPjNiVVaFX9yyPTuf/FZn89S
                                jGyjPXQz0PdamPBd2mbCGuCpXq35Onmd93o/tBxkfc28
                                GuJEEcXVZ7eBS5us7Bi6z+5sBRG/j7s5SwSojS4= )
:

flags に ad が入り、rootゾーンからの署名の連鎖で、署名検証されていることがわかります。

←ICT基盤推進室へ戻る ↑このページの一番上へ戻る