DNSSEC-Tools son un conjunto de aplicaciones, extensiones y plugins cuyo fin es hacer más sencillas las tareas a realizar en un servidor DNS con DNSSEC, como por ejemplo firmar zonas, actualizaciones, generación de llaves, etc.
En Fedora, puede instalarse directamente vía YUM:
yum install dnssec-tools dnssec-tools-libs dnssec-tools-perlmods
Y para instalar los paquetes de desarrollo:
yum install dnssec-tools-libs-devel dnssec-tools-debuginfo
Yo en CentOS lo instalé compilando a mano, el proceso es el siguiente, podéis descargar las sources de la web de dnssec-tools:
Primero instalaremos unos módulos de perl necesarios:
perl -MCPAN -e shell
cpan> install Net::DNS
cpan> install Net::DNS::SEC
cpan> install Text::Wrap
cpan> install Date::Parse
Necesitaremos también los compiladores para compilar dnssec-tools:
yum install gcc
Y openssl:
yum install openssl.i686 openssl-devel
Ahora compilamos con:
./configure
make
make install
A la hora de hacer el configure nos pedirá unas cuantas rutas a ficheros, como el named.ca, resolv.,conf, etc. Una vez compilado, la primera vez tenemos que ejecutar un asistente de configuración (lo que hace es configurar el fichero /usr/local/etc/dnssec-tools/dnssec-tools.conf):
dtinitconf
Si el fichero existe habrá que sobreescribirlo:
dtinitconf -overwrite
Y el proceso del asistente es algo similar a esto:
Path-related Options:
These directories contain BIND programs:
/usr/local/sbin
/usr/sbin
BIND directory [/usr/local/sbin]: /usr/sbin/named
Image Display Program [/usr/X11R6/bin/xview]:
Checking validity of paths:
BIND's named_checkzone (/usr/sbin/named/named-checkzone) does not exist
BIND's dnssec_keygen (/usr/sbin/named/dnssec-keygen) does not exist
BIND's dnssec_signzone (/usr/sbin/named/dnssec-signzone) does not exist
Image display program (/usr/X11R6/bin/xview) does not exist
At least one path did not exist.
Would you like to try again? [yes]: yes
Path-related Options:
These directories contain BIND programs:
/usr/local/sbin
/usr/sbin
BIND directory [/usr/local/sbin]: /usr/sbin
Image Display Program [/usr/X11R6/bin/xview]:
Checking validity of paths:
Image display program (/usr/X11R6/bin/xview) does not exist
At least one path did not exist.
Would you like to try again? [yes]: no
Key-related Options:
Encryption Algorithm [rsasha1]: rsasha1
Random-number Generator [/dev/urandom]: /dev/urandom
KSK Length (in bits) [2048]: 2048
KSK Lifespan (in seconds) [15552000]: 15552000
ZSK Length (in bits) [1024]: 1024
ZSK Lifespan (in seconds) [604800]: 604800
ZSK Count [1]: 1
Zone-related Options:
End-time [+2592000]: 2592000
DNSSEC-Tools Options:
Use DNSSEC-Tools GUI Interface [no]: no
Display Entropy Message in Zonesigner [yes]: yes
Save Old Keys [yes]: yes
Key Archive Directory [no default]: /var/named/chroot/var/key_archive
Key-Generation Options [no default]:
Zone-Checking Options [no default]:
Zone-Signing Options [no default]:
Roll-over Manager's Logfile [/usr/local/etc/dnssec-tools/log-rollerd]:
Roll-over Manager's Logging Level [info]
(valid values: tmi, expire, info, phase, err, fatal): info
Roll-over Manager's Sleep-time [3600]:
TrustMan's contact address [no default]:
TrustMan's SMTP server [no default]:
Una vez finalizado podremos generar las llaves y firmar una zona con el comando zonesigner, ejemplo:
zonesigner -genkeys -endtime +2678400 dominio.com
Comentarios recientes