DNS bei deSEC - wie geht das mit DNSSEC?

  • Hallo


    ich möchte für meine Domains, bei Netcup registriert, DNSSEC nutzen. Ich hab das mal bei Netcup selbst ausprobiert und das war ein Desaster. Nun möchte ich einen neuen Anlauf starten. Ich habe den NS für eine Domain zu deSEC übertragen. Nun möchte ich für diese Domain DNSSEC aktivieren. Bei deSEC kann ich den DNSKEY Record auslesen. Dieser lautet z. B. so:


    257 3 13 cXU1JIjddYkXkDhaEoGjCgIDSABbby7mRwmFHmPJr+Un6PgZBDo9uT8oor7XYj07IjZLm9rTtVxQirjjbwQD0g==


    Was muss ich denn jetzt bei Netcup eintragen? Speziell bei Flags und Algorhytmus?


    Danke für jeden Tipp


    SW


    pasted-from-clipboard.png

  • Wie viele der Einträge muss man eigentlich übernehmen? Insgesamt werden mir bei de desec 3 Einträge angezeigt, 2 DS Records und ein DNSKEY Record. Allerdings kann ich davon nur einen erfolgreich bei netcup eintragen. Den DNSKEY Record kann ich gar nicht eingeben, dazu passt die Eingabemaske nicht. Und von den DS Records wird nur einer übernommen, beim anderen kommt die Fehlermeldung, dass beim Speichern ein Fehler aufgetreten sei.

    Code
    DS Records:
    12009 13 2 a...9
    12009 13 4 2...5
    
    DNSKEY Record:
    257 3 13 IS...RA==
  • Du musst nur die Infos aus dem Tab DNSKEY Records verwenden. Das sind 4 Werte. Und auch davon brauchst du nur drei, den ersten, dritten und vierten.


    Code
    Flags: KSK (257)
    Algorithmus: ECDSAP256SHA256 (13)
    Öffentlicher Schlüssel: IS...RA==
  • Kann es sein, dass siche mitlerweile die Eingabemaske geändert hat. Ich hab dasselbe Problem wie frank_m. Ich kann nur den einen ds Record speichern.
    pasted-from-clipboard.png

    Der zweite wird mir nicht gespeichert
    pasted-from-clipboard.png

    In desec hab ich folgendes stehen


    pasted-from-clipboard.png


    Die Eingabe von dem DNSKEY RECORDS wie oben beschriegen finde ich nirgends oder bin ich da irgendwie blind? Ich brauche

    immer Hashtyp, KeyTag und Algorithmus neben dem Schlüssel????


    Vielen Dank

  • Genau da liegt aber das Problem. Bei mir ist das UI von netcup anders.

    Das ist je TLD anders. Die Werte kannst du alle aus den Flags und DS / DNSSEC Records beziehen.


    Außerdem müssen oben die IPv4 und v6 Adressen entfernt werden - Glue Records sind nur notwendig, wenn die DNS Server innerhalb der gleichen Zone sind, die sie auch bedienen.

  • Ok gemacht, danke. Langt da ein Eintrag oder hast du noch irgendeine Idee warum ich den SHA-384 nicht speichern kann? Der SHA-256 geht.

  • Hängt das wohl von der tld ab was man speichern kann?

    Wie oben geschrieben, ja. Jede Registry hat ihre eigene DNSSEC Implementierung und unterstützte Algorithmen.

    Die spielen ja die Hälfte der DNSSEC Records aus uns sind Teil der Chain of Trust.


    Der SHA-384 Digest findet allerdings noch nicht so viel Unterstützung und wird noch nicht aktiv empfohlen. Daher ist der erste DS Record ausreichen.

  • Hallo,
    ich bin in einer ähnlichen Situation wie der TO. Das heißt, ich habe eine .de-Domain auf netcup registriert und verwende desec.io als externen Nameserver. Die Ersteinrichtung ist erfolgreich abgeschlossen.

    Nun möchte ich DNSSEC aktivieren, weiß aber nicht, welche Schritte hierzu im einzelnen erforderlich sind.


    Ich habe mit den folgenden Befehlen die nötigen (?) Keys auf meinem PC erstellt:

    Code
    # dnssec-keygen -a RSASHA256 -b 1024 beispiel.de
    Generating key pair...++++++ .............++++++ 
    Kbeispiel.de.+008+03634
    # dnssec-keygen -a RSASHA256 -b 2048 -f KSK beispiel.de
    Generating key pair........................+++ ..................................+++ 
    Kbeispiel.de.+008+12346


    Es wurden 4 Key-Dateien erstellt:

    • Kbeispiel.de.+008+12346.key
    • Kbeispiel.de.+008+12346.private
    • Kbeispiel.de.+008+03634.key
    • Kbeispiel.de.+008+03634.private


    Code
    # cat Kbeispiel.de.+008+12346.key; This is a key-signing key, keyid 12346, for beispiel.de.
    [...]
    beispiel.de. IN DNSKEY 257 3 8 AwEAAdyMsyFa2yS1fcXXK1KGKLh5RkSkq2WED+RuE3xvWUjppvvxQyS7 GhgvgpzQgK8p7yli2wya4Rn1NVOauqPnqJB6Ga1B0oPr6SV/M991DCMV tQ3r5PwgQNnxEZIS/N6xKeY07l3OLnCdg2DtdeNVLjcoU+o+mlJhQIK9 V4RuEOA9n4MhYjW/HCHDZiel3kzRw3nMzthWmG9FAtnyXS1/4Pun3CYj 1nVEvCJxmj9W16z4IGElu5UZlbOTUjlAjAQak5sWR22GOQo6AjvJBQ7+ NSXy7NrhJ2B4x5Gc78ZCmYLv9EUbVmwK+MfKxO2GTqo4KPgBl/Q2GoGF 3xPO2N0ZykE=

    Im CCP von netcup habe ich ausschließlich den öffentlichen KSK eingetragen, siehe Screenshot:


    DNSSEC-ccp.png


    Auch nach über 24 Stunden ergeben DNSSEC-Prüfungen noch Fehler, z. B. https://dnssec-analyzer.verisignlabs.com:
    No DS records found for beispiel.de in the de zone


    dnssec-analyzer.png


    Was mache ich falsch? Natürlich habe ich statt beispiel.de meine richtige Domain bei den o.g. Befehlen verwendet...

  • Ich habe mit den folgenden Befehlen die nötigen (?) Keys auf meinem PC erstellt:

    Also das habe ich nie gemacht. Alle nötigen Keys, die ich bei netcup eintragen musste, wurden mir bei desec angezeigt. Ich hab Vergleichbares auch mal bei Cloudflare gemacht, und da war es ebenso.


    Wie hast du die bei dir generierten Keys denn bei desec eingetragen?

  • Wieso erstellst du da eigene Keys und wie machst du die bei deSEC bekannt? Soweit ich weiss, sind die von deSEC angegebenen Schlüssel und Algorithmen zu benutzen, wie von mir schon in Beitrag #2 dieses Threads beschrieben


    Edit: Zu langsam..

  • Danke, frank_m.


    Bislang habe ich immer unter den konkreten "Record Sets" auf dnssec gesucht und nichts gefunden.

    Nachdem du mir geantwortet hast, habe ich dann auch das "i" entdeckt. :/

    desec.png

    Dann werden DS und DNSKEY Format dargestellt. Ich verwende jetzt DNSKEY Format. Mal sehen, was passiert! Danke euch!!!

  • Die Seite wird auch im Einrichtungsdialog angezeigt. Man darf sie nicht nicht wegklicken. Und welcher Eintrag übernommen werden muss, hängt von der Zieldomain an, wie weiter oben zu lesen ist.