Activation dnssec avec serveur dédié soyoustart sous debian/bind
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

Activation dnssec avec serveur dédié soyoustart sous debian/bind

F
Par
FabienA5
Créé le 2023-05-30 13:41:14 (edited on 2024-09-04 13:49:59) dans Domaines et DNS

Bonjour à toutes et à tous,

Mon **nom de domaine** est : glyf.fr

Et j'utilise **l'offre** : serveur dédié soyoustart

Je rencontre la problématique suivante / Je souhaiterais mettre en place :
Comment activer dnssec avec serveur dédié soyoustart sous debian/bind ?

J'essaie de faire une configuration test dnssec sous bind9 pour un domaine, ici glyf.fr

voici la conf pour dnssec-policy dans named.conf.local :

dnssec-policy "myway" {
keys {
ksk lifetime unlimited algorithm rsasha256 2048;
zsk lifetime P60D algorithm rsasha256 1024;
};
};

plus loin :

zone "glyf.fr" {
type master;
file "/etc/bind/master/glyf.fr";
allow-transfer {
213.251.188.141;
2001:41d0:1:4a8d::1;
51.255.5.173;
127.0.0.1;
};
allow-query { any; };
forwarders{};
notify yes;
inline-signing yes;
dnssec-policy myway;
serial-update-method increment;
};

J'ai essayé de renseigner la zone signée (glyf.fr.signed) à la place du fichier de zone glyf.fr, mais ça n'a pour seul résultat que de faire rater les requêtes vers glyf.fr.

Quand je renseigne les enregistrements DS avec les clés créés dans /var/cache/bind/keys, j'obtiens le message d'erreur suivant des robots d'ovh :
image

Désolé si j'ai probablement fait un peu n'importe quoi, mais j'ai cru comprendre que mettre bind en mode inline-signing, et en utilisant dnssec-policy au lieu de auto-dnssec, permettait d'avoir les prérequis suffisants pour commencer la manoeuvre des enregistrements DS sur ovh.

Question subsidiaire : peut-on et faut-il mettre unlimited à la place de P60D sur ce réglage :
`zsk lifetime P60D algorithm rsasha256 1024;`

Update : j'essaie en ce moment plutôt avec le dnssec-policy default et semble avoir un temps obtenu de meilleurs résultats avec des clés ECDSA... Cependant j'ai lors de mes tests lancé plusieurs opérations sur les DS et certaines semblent bloquées.

Help please !

voici le meilleur résultat obtenu (en testant sur un autre domaine) - la clé a été mise à jour côté serveur donc n'est plus reconnue :
image
Edit 2 : Apparemment pour glyf.fr c'était bloqué car j'avais omis de spécifier sdns2.ovh.net en tant que NS dans la zone master sur mon serveur.
Du coup sdns2.ovh.net refusait de faire autorité pour le domaine.
Edit 3 : C'est tout bon maintenant, excepté qu'il semble y avoir encore dans les enregistrements dnssec une voire plusieurs ancienne(s) clé(s) selon les domaines, est-il possible de forcer l'oubli pour celles-ci ?
Edit 4 : effacer les fichiers de zones signés, incrémenter les serials, service bind9 restart et très important : service named restart a résolu mon problème...
Si ça peut servir à quelqu'un !
Avis positifs (0)
350 Vues
1 réponse ( Latest reply on 2023-06-06 11:39:49 Par
FabL
)

Bonjour @FabienA5,

Je vous remercie d'avoir apporté un retour à votre propre thread !

Je clos le sujet,

Je vous souhaite une bonne navigation sur Community.

^FabL
Utile (0)

Sujets apparentés

Rejoindre la discussion