DS-Record im CCP eintragen

  • Hallo,


    Vorgeschichte:

    Ich betreibe einen eigenen kleinen DNS Server für meine dyndns Hosts. Dafür gibt es eine Subdomain für eine bei netcup registrierte .com domain:

    dyn.example.com


    Die einzelnen Hosts heißen demnach

    hostX.dyn.example.com


    Dafür läuft ein bind9 in einem lxd Container auf einem RS bei netcup, für den eine kleine API exportiert wird, damit die Clients ihre Adressen aktualisieren können. Im CCP bei netcup gibt es einen entsprechenden Nameserver Eintrag:

    dyn NS ddns.example.com (vereinfacht)

    ddns ist der Hostname des DNS Servers (bzw. des entsprechenden lxd Containers). Das funktioniert soweit super und war in den letzten Monaten sehr stabil.


    Vorhaben:

    Das ganze soll nun dnssec lernen. Entsprechend hab ich mir dieses Know-How angesehen:

    https://doku.lrz.de/display/PUBLIC/DNSSEC+mit+BIND+9.9


    Die Vorgehensweise funktioniert augenscheinlich, bis auf ein Problem: Ich kriege den DS Eintrag für den Parent NS nicht ins Netcup CCP. Die dsset Datei wird wie beschrieben erzeugt, da drin ist aber nur ein Eintrag (nur der für RSASHA2):

    dyn.example.com. IN DS 34939 8 2 BEB40DC948274BD637720B77694564B6C785283F1F89C3FF901466A3 B1BB5D25


    Wenn ich nun aber einen DNS Eintrag im Netcup CCP vornehmen möchte, mit Host "dyn", Type "DS" und der Destination "34939 8 2 BEB40DC948274BD637720B77694564B6C785283F1F89C3FF901466A3 B1BB5D25", dann kriege ich einen Fehler:


    Destination des DS-Records falsch


    Was lauft da schief? Fehlt ein Eintrag für RSASHA1? Wird der Algorithmus für .com nicht unterstützt? Oder die Länge von 2048 Bit?

  • Was lauft da schief?

    Du hast einen Denkfehler.


    Das DNSSEC bezieht sich auf deine Top-Level-Domain und die Subdomains bzw. alles was darunterliegt, erbt diese Einstellungen. Denk mal an dem 'www.Top-Level-Domain.de/com/net' oder 'www1.Top-Level-Domain.de/com/net' und so weiter.

  • Das DNSSEC bezieht sich auf deine Top-Level-Domain und die Subdomains bzw. alles was darunterliegt, erbt diese Einstellungen. Denk mal an dem 'www.Top-Level-Domain.de/com/net' oder 'www1.Top-Level-Domain.de/com/net' und so weiter.

    Nur zur begrifflichen Klarstellung:

    In "www.domain.de" ist die top-level-domain (TLD) nicht "domain" sondern "de"

  • Das DNSSEC bezieht sich auf deine Top-Level-Domain und die Subdomains bzw. alles was darunterliegt, erbt diese Einstellungen.

    Aber nur solange für diese Sub Domain kein eigener Nameserver angegeben wird. Wenn es einen Nameserver gibt, dann muss der auch wieder dnssec lernen.


    Möglicherweise hab ich das Problem nun gelöst. Ich habe noch mal neu angefangen und habe das offizielle Howto der bind Seite befolgt:

    https://bind9.readthedocs.io/en/v9_18_2/dnssec-guide.html


    Da purzelte am Ende ein DS Eintrag heraus, der direkt vom Netcup CCP akzeptiert wurde. Jetzt warte ich darauf, dass der Eintrag exportiert wird, und dann werde ich mal einige der üblich verdächtigen DNS Validierer drauf loslassen.

  • Um die Sache hier zu einem möglichst friedlichen Ende zu bringen: Es hat alles wie vorgesehen funktioniert. Ich hab zwar nach wie vor keine Ahnung, warum das CCP die manuell erstellten Einträge nicht akzeptieren wollte. Aber die bei der automatischen Signierung durch bind9 erstellten Einträge ließen sich auf Anhieb eintragen und nun sind auch alle gängigen DNS Validierer glücklich, inkl. der Überprüfung mit "dig".

  • Auch wenn es sich schon erledigt hat - warum nicht gleich die gesamte Zone mit DNSSEC ausstatten? Klappt mit der dafür vorgesehenen Oberfläche im CCP ganz gut, und Keys im DNS Server generieren klappt ja schon. :)