Настройка зоны DNSSEC

Настройка и управление DNSSEC

Настройка и управление DNSSEC осуществляется с помощью утилиты dnscmd.exe. Первым шагом является генерирование для защищаемой зоны сертификатов подписи, т.е. сертификатов ZSK и KSK.

Необходимые шаги перечислены ниже.

  1. На DNS-сервере щелкните правой кнопкой мыши на пункте Command Prompt (Командная строка) в меню Start (Пуск) и выберите в контекстном меню пункт Run As Administrator (Запуск от имени администратора).
  2. Введите команду cd \windows\system32\dns.
  3. Чтобы сгенерировать сертификат KSK, введите команду: dnscmd /OfflineSign /GenKey /Alg rsashal /Flags KSK /Length 1024 /Zone secure.company.com /SSCert /FriendlyName KSK-secure.company.com
  4. Чтобы сгенерировать сертификат ZSK, введите команду: dnscmd /OfflineSign /GenKey /Alg rsashal /Length 1024 /Zone secure.company.com /SSCert /FriendlyName ZSK-secure.company.com

Генерируемые ключи сохраняются на DNS-сервере в хранилище сертификатов Local Computer (Локальный компьютер) внутри каталога MS-DNSSEC. Срок действия сертификатов подписи по умолчанию составляет пять лет.

Следующим действием является подписание файла зоны и записей. Для этого потребует­ся взять существующий файл зоны (в рассматриваемом примере это secure.company.com.dns), подписать зону и записи и сохранить результат в другом файле зоны (в данном примере это signed. secure.company.com.dns). Для подписания нужно использовать ранее сгенерированные сертификаты. Ниже перечислены шаги, которые необходимо вы­полнить для подписания зоны.

  1. На DNS-сервере откройте консоль Server Manager (Диспетчер сервера).
  2. Разверните последовательно узлы Roles (Роли), DNS Server (DNS-сервер), DNS, DC1 и Forward Lookup Zones (Зоны обратного просмотра) и найдите узел с названием secure.companyabc.com.
  3. Щелкните на узле secure.companyabc.com правой кнопкой мыши и выберите в контекстном меню пункт Update Server Data File (Обновить файл данных сервера). Это гарантирует сохранение в файле самых последних обновлений.
  4. Откройте меню Start (Пуск), щелкните в нем правой кнопкой мыши на пункте Command Prompt (Командная строка) и выберите в контекстном меню пункт Run As Administrator (Запуск от имени администратора).
  5. В окне, которое появится после этого, введите команду cd \windows\system32\dns.
  6. Чтобы подписать файл зоны, введите команду

DnsCmd /OfflineSign /SignZone /input secure.company.com.dns /output signed.secure.company.com.dns /zone secure.company.com /signkey /cert /friendlyname KSK-secure.company.com /signkey /cert /friendlyname ZSK-secure.company.com

После выполнения этих шагов файл зоны будет подписан и готов загрузке на DNS-сервер.

Последним действием в процессе подписания зоны является повторная загрузка фай­ла зоны на DNS-сервер.

2016  Командная строка Windows  
top Яндекс.Метрика