Názor k článku DNSSEC s BIND 9.9 snadno a rychle od MaKr - Tak až teď to mám - zápis jak...
-
Tak až teď to mám - zápis jak přinutit BIND 9.9.5 akceptovat záznam s CDNSKEY
(vznik ověřován na porovnání odpovědí zachycených tcpdumpem a analýzou wiresharkem)záznam
#dig TYPE48 skvelynet.cz
;; ANSWER SECTION:
skvelynet.cz. 3600 IN DNSKEY 257 3 13 0tV4xYibabQuOLi+705xOJiNaruWCbQmg6lof1MZshazZRRn8YuFP01I RjYJjumRmV7S/bdHwhUMIwY8AsKcbg==se přepíše do root.zone souboru bindu následovně - pro CDNSKEY
skvelynet.cz. IN TYPE60 \# 68 ( 01 01 03 0D d2 d5 78 c5 88 9b 69 b4 2e 38 b8 be ef 4e 71 38 98 8d 6a bb 96 09 b4 26 83 a9 68 7f 53 19 b2 16 b3 65 14 67 f1 8b 85 3f 4d 48 46 36 09 8e e9 91 99 5e d2 fd b7 47 c2 15 0c 23 06 3c 02 c2 9c 6e )
kde délka je fixní = 68 byte
0101 = 257
03 = 3
0D = 13
d2d5..... to je již 64B klíč.. Klíč je však uložen v BASE64, je nutné převést do hexa http://www.asciitohex.com/
-- v podstatě stačí vzít ten řetězec 0tV4....== a copy+pastenásledně stačí reloadovat bind..
a dig vrátí pro dotaz na type60
#dig TYPE60 skvelynet.cz
;; ANSWER SECTION:
skvelynet.cz. 3600 IN TYPE60 \# 68 0101030DD2D578C5889B69B42E38B8BEEF4E7138988D6ABB9609B426 83A9687F5319B216B3651467F18B853F4D484636098EE991995ED2FD B747C2150C23063C02C29C6Ejestli jsem vše udělal dobře, tak stačí teď počkat 7 dní a díky skenování ze strany cz.nic by mělo dojít k zanesení klíče do nadřazeného dns.. viz: https://www.root.cz/clanky/druha-faze-automatizovane-spravy-dnssec-klicu/
Dám pak vědět..
