問題タブ [dnssec]

Mac OS X 10.10.3 Yosemite を使用しています。ごく最近、Snow Leopard (10.6.8) から Yosemite にアップグレードされました。

ステップA

私の MacBook では、管理者タイプの特権アカウントにログインしています。Apple App Store から最新の無料 XCode をインストールしました。XCodeでは、コマンドラインツールなどもインストールしました。

ステップB

https://brew.sh/から Homebrew をインストールしました。これは、Homebrew Web サイトから、ターミナルで実行したコマンドライン コードです。

上記のスクリプトは、必要なさまざまなソフトウェアと設定の存在をチェックし、取得または実行する必要があるその他のコマンドまたはツールを示しました (ターミナル ウィンドウ内の情報とステータス)。私はそれらに従いました。

ステップC

Homebrew と関連するインストール手順が完了したら、ターミナルのコマンドラインからツールを使用してopenssl&unboundをインストールしました。brew

ステップ D

MacBook を一度再起動してから、dig以下のコマンドを試しました。DNS クエリの結果にフラグが表示されませんでしたad。これは、DNSSEC 認証済みの DNS 解決がまだ機能しておらず、無効になっていることを示しています。

192.168.10.1 は、インターネットに接続されているプラ​​イマリ ネットワーク インターフェイス/アダプターの (インターネット ルーター) ゲートウェイです。私のネット アダプタは現在、動的な (固定されていない) DHCP ベースの IP アドレスである 192.168.10.50 を使用しています。

残念ながら、https://unbound.net/の開発者は、Mac OS X 用のスタンドアロンの Unbound.pkgまたは.dmgインストーラー ファイルを提供していません。DNSSEC-Trigger アプリも積極的に開発していません。Snow Leopard では、DNSSEC-Trigger バンドルの Unbound 部分のみを使用していました。メーリングリストのアーカイブに示されているヒントに従って、DNSSEC-Trigger 部分を無効にし、Unbound 部分を実行し続けることができました。このように、XCode コマンドライン ツールや Homebrew をインストールする必要はありませんでした。

MacBook 上のすべてのアプリが、すべてのアプリ/クライアントに対してアンバウンド DNSSEC リゾルバーを使用できるようにするには、どうすればよいですか? Unbound のリゾルバが 127.0.0.1 ポート 53 で DNSSEC および DNS クエリをリッスンするようにします。

RFC 2845 に従って、TSIG RR キー名は Canonical ワイヤ形式である必要があります。正規のワイヤ形式とは正確にはどういう意味ですか? RFC 2523 を確認したところ、「DNS セキュリティの目的で、RR の標準形式は、ドメイン名を含む RR のワイヤ形式です (1) 完全に展開された (ポインターによる名前圧縮なし)、(2)小文字に設定されたすべてのドメイン名文字、(3) マスター ファイル形式の所有者名ワイルド カード (* の置換なし)、および (4) 現在の TTL を元の TTL に置換します。

たとえば、キー名が abc.def.shared.key の場合、正規のワイヤ形式で「\003abc\003def\006\003key\000」になりますか?

Python getdns API を使用しています。

私は拡張機能を使用しています：

dnssec_statusこれは、応答辞書のオプションを使用して応答が DNSSEC で保護されているかどうかが通知されることを意味します。(results.replies_treeは返信辞書の配列です。)

名前がない場合、クエリに応答がない場合があります (例: results.status==getdns.RESPSTATUS_NO_NAME)。

この場合、RESPSTATUS_NO_NAME応答が DNSSEC で認証されているかどうかはどうすればわかりますか?

私は現在 WMbind に取り組んでおり、'signedzone' という新しいモジュールを作成しています。そして、キー テーブルである wmbind データベースにもう 1 つのテーブルを追加しました。では、上記の質問のように、キーを使用してゾーンに署名した後、キー (この場合は KSK と ZSK の両方) を保存する必要がありますか?

以前に使用済みのキーを削除しようとしましたが、署名されたゾーンには何もしませんでした。

ただし、使用済みのキーを削除すると、署名されているゾーンに影響するかどうかを知る必要があります。

前もって感謝します

ランダムな Web サイトから DANE 証明書を検証する必要があります。

https://www.bouncycastle.org/java.html (Java 用の Bouncy Castle Crypto API)を試してみましたが、必要なものに近い例があります: https://github.com/bcgit/bc- java/blob/master/pkix/src/test/java/org/bouncycastle/cert/test/DANETest.javaしかし、私は彼らがrandomCertをどこから取っているのか、そして2番目のifで何が比較されているのか理解していません.

dnssec-keygen で生成されたキーを使用して ddns (動的 dns) をセットアップしようとしています。-n USER "username" を使用しました。これにより、キーの使用が "username" に制限されると考えました。ただし、キーを持っている人なら誰でも ddns 更新を実行できますが、これは私が望んでいることではありません。

dnssec-keygen の USER 所有者タイプの重要性を理解したいと思います。

ここKjqmt7v.crtからダウンロードしたトラスト アンカー ( ) に対してルート キー署名キー (KSK) を検証しようとしています。モジュールを使用してルート KSK を取得しています。Net::DNS

現在、両方が同じであることを確認する方法について非常に混乱しています。.crtファイルをKeysetオブジェクトに変換しようとしましたが、エラーになります。

これは私のコードです。

これがエラーです

私は非常に混乱しているため、開始方法がわからないため、適切なコードを提供できません。私を正しい方向に向けることは非常に役に立ちます。

ルート DNS サーバーから取得している KSK に対してトラスト アンカーを検証する方法が必要です。それを行う他の方法がある場合は、私を更新してください。

サブドメインに基づいてクエリに応答するカスタム DNSSEC サーバーの構築に取り組んでいます。たとえば、

abc123.example.com は 0.0.0.0 で応答します

def456.example.com は 1.1.1.1 で応答します

ARSoft ツールを使用して、DNS クエリへの応答を生成しています。私の質問は、応答に必要な RRSig レコードを生成するにはどうすればよいですか? コードでレコードを生成する方法は次のとおりです。

3 つのレコード (現在は byte[] {1,2,3} として設定) のそれぞれのバイト配列に入れるには、どのように、また何を収集する必要がありますか? DS レコードはダイジェストを要求し、DnsKey は publicKey を要求し、rrsig は署名を要求しています。