Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Конфигурация DNSSEC

На чтение 6 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Настройка DNSSEC для домена rizsolutions.com
  4. 1. Выбор места для управления DNS
  5. 2. Генерация ключей DNSSEC
  6. 3. Передача публичного ключа KSK вашему регистратору
  7. 4. Проверка настройки внешнего доступа
  8. Заключение

Вопрос или проблема

Я купил хостинг для rizsolutions.com, моего основного домена, через HosterPK. Моя локальная Linux-среда хостит мои субдомены, такие как dev.rizsolutions.com, cloud.rizsolutions.com и app.rizsolutions.com. С помощью Let’s Encrypt я обеспечил безопасность каждого веб-сервера с помощью SSL-сертификата и настроил DNS-сервер на Windows Server 2016.

Теперь я хочу настроить DNSSEC на cPanel HosterPK и на моем DNS-сервере Windows. Главное, что меня беспокоит, это то, нужно ли мне создавать ключи DNSSEC в cPanel HosterPK, а затем копировать их на мой DNS-сервер Windows, или мне следует создать ключи на своем сервере Windows и скопировать их на cPanel HosterPK? Является ли добавление элемента DNSKEY в записи DNS правильным способом настройки DNSSEC или существует другой способ?

Кроме того, я заметил, что все работает как задумано при внутреннем доступе, но не функционирует корректно при внешнем доступе, например, при попытке перейти на веб-сервера, такие как portainer.dev.rizsolutions.com. Чтобы обеспечить безопасную и соответствующую настройку, пожалуйста, предоставьте точные и актуальные настройки, необходимые для обеих систем.

Главное, что меня беспокоит, это то, нужно ли мне создавать ключи DNSSEC в cPanel HosterPK, а затем копировать их на мой DNS-сервер Windows, или мне следует создать ключи на своем сервере Windows и скопировать их на cPanel HosterPK?

Наличие собственного авторитетного DNS-сервера обычно означает, что вы не будете использовать управление DNS в cPanel вашего хостинг-провайдера – вы не можете иметь одну и ту же зону DNS, размещенную в обоих местах. (Ну, вы можете, но не пройдет и недели, как у вас появятся несовпадающие записи, и все начнет идти не так, так что выберите один или другой вариант.)

Обычная практика заключается в том, что вы генерируете пару ключей на системе, где она будет использоваться, и копируете только открытый ключ на другие системы. (Например, при выдаче HTTPS-сертификатов это никогда не центр сертификации генерирует пару ключей для вас – вместо этого ваш сервер сам генерирует пару ключей в нужном формате и предоставляет только открытый ключ для сертификации центром.)

То же самое относится и к подписанию DNSSEC. Если ваш собственный DNS-сервер будет выполнять все подписи, нет причин, чтобы ваш регистратор доменов имел доступ к вашему закрытому ключу (и меня удивляет, что он даже предлагает такую опцию) – регистратору нужен только открытый ключ (KSK), который он опубликует, чтобы резолверы могли его найти.

С другой стороны, если HosterPK будет обрабатывать DNSSEC для вас, то пусть они генерируют ключи.

Вы не обязаны использовать одни и те же ключи на протяжении всего срока действия домена; вы всегда можете мигрировать, публикуя новые ключи (записи DS) в подготовку и удаляя старые DS в конце. (Как правило, это проще, чем пытаться расшифровать, какой странный формат Windows ожидает для импорта закрытого ключа.) Это означает, что вы можете одновременно публиковать как свои ключи, так и ключи HosterPK, но это следует делать только для миграции.

Является ли добавление элемента DNSKEY в записи DNS правильным способом настройки DNSSEC, или существует другой способ?

Записи DNSKEY сами по себе бессмысленны; они имеют смысл только в сочетании с RRSIG “подписью записи”, которую генерирует ваш DNS-сервер.

Если вы используете консоль управления DNS “DNS Manager”, щелкните правой кнопкой мыши на своей зоне в левом панели и выберите “DNSSEC → Подписать зону”, чтобы она сгенерировала ключи и подписала все записи в зоне. (Она автоматически обновит подписи по расписанию и всякий раз, когда вы сделаете какие-либо обновления.)

Затем посмотрите на автоматически добавленные записи DNSKEY, в частности на “KSK” (значение флага 257), и предоставьте их вашему регистратору – либо в виде полного открытого ключа (DNSKEY), либо в виде отпечатка SHA256 (DS), в зависимости от того, что он требует (разные реестры TLD имеют разные требования, хотя в конечном итоге все равно будет опубликована только запись DS).

Чтобы обеспечить безопасную и соответствующую настройку, пожалуйста, предоставьте точные и актуальные настройки, необходимые для обеих систем.

Не задавайте свои вопросы через ChatGPT.

Ответ или решение

Настройка DNSSEC для домена rizsolutions.com

Чтобы правильно настроить DNSSEC для вашего домена rizsolutions.com, необходимо учитывать несколько ключевых моментов, связанных с вашим хостингом и локальным DNS-сервером. Давайте разберем шаги по настройке и рекомендации.

1. Выбор места для управления DNS

Сначала определитесь, где будет размещаться ваша зона DNS. Если вы уже настроили свой собственный DNS-сервер на Windows Server 2016, вы, вероятно, захотите использовать его для управления записями DNS. В этом случае:

  • Не используйте управление DNS в cPanel HosterPK. Это может привести к нестыковкам, если записи будут храниться в двух местах. Неправильная конфигурация приведёт к проблемам с доступностью вашего домена.

2. Генерация ключей DNSSEC

Если вы решили использовать свой Windows DNS-сервер для управления записями, то следующим шагом будет создание ключей для DNSSEC. Вот как это сделать:

  1. Открытие консоли DNS Manager:

    • Запустите консоль DNS Manager на вашем сервере.
    • Найдите вашу зону (например, rizsolutions.com) в левой панели.

  2. Подпись зоны:

    • Щелкните правой кнопкой мыши на зоне и выберите "DNSSEC" → "Sign the Zone".
    • Это автоматически создаст ключи и подпишет все записи в зоне.

  3. Ключи и записи:

    • При подписании зоны будут созданы DNSKEY записи и RRSIG записи. Записей типа RRSIG не нужно добавлять вручную, так как они будут генерироваться автоматически.

3. Передача публичного ключа KSK вашему регистратору

После успешной подписи зоны вам нужно будет передать ключ KSK в HosterPK:

  1. Найдите KSK среди автоматически добавленных DNSKEY записей (значение флага 257).
  2. Получите полный публичный ключ (DNSKEY) или преобразуйте его в DS-запись (при необходимости) для передачи его вашему регистратору. Обратите внимание, что требования по форматам могут различаться в зависимости от TLD вашего домена.

4. Проверка настройки внешнего доступа

Если вы сталкиваетесь с проблемами доступа к вашим поддоменам извне (например, portainer.dev.rizsolutions.com), это может быть связано с несколькими факторами:

  • Проверка записей DNS: Убедитесь, что ваши записи A для поддоменов корректны и доступны извне. Используйте инструменты, такие как dig или онлайн-сервисы, чтобы проверить ваши DNS-записи.
  • Проверка конфигурации фаервола: Убедитесь, что фаервол на вашем локальном сервере разрешает доступ к необходимым портам и IP-адресам.
  • Кэширование DNS: Имейте в виду, что обновления DNS могут занять некоторое время, поскольку кэширование на различных уровнях (локальный компьютер, провайдер, интернет-сервисы) может влиять на доступность.

Заключение

Следуя вышеперечисленным шагам, вы сможете настроить DNSSEC для вашего домена rizsolutions.com, обеспечивая его безопасность и целостность. Если у вас возникнут дополнительные вопросы, не стесняйтесь обращаться за помощью. Удачи в настройке!

dns ubuntu windows-server-2016
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности