Date: Mon, 18 Jul 2011 21:16:44 GMT From: Rene Ladan <rene@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 196369 for review Message-ID: <201107182116.p6ILGiqi000241@skunkworks.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://p4web.freebsd.org/@@196369?ac=10 Change 196369 by rene@rene_acer on 2011/07/18 21:15:39 Some more of network-servers translated. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#43 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#43 (text+ko) ==== @@ -4279,14 +4279,131 @@ role="Zone Signing Key">ZSK</acronym>). Meer over de verschillende soorten sleutels komt aan bod in <xref linkend="dns-dnssec-auth">.</para> -<!-- rene hier--> + + <para>Nu moet de sleutel gecontroleerd en geformatteerd worden zodat + <acronym>BIND</acronym> deze kan gebruiken. Maak om de sleutel te + controleren een <acronym role="Delegation Signer">DS</acronym> - + <acronym role="Resource Record">RR</acronym>-paar aan. Maak een + bestand aan dat deze <acronym role="Resource Record">RR</acronym>s + bevat aan met</para> + + <screen>&prompt.user; <userinput>dnssec-dsfromkey -f root-dnskey . > root.ds</userinput></screen> + + <para>Deze records gebruiken respectievelijk SHA-1 en SHA-256, en dienen + er als het volgende voorbeeld uit te zien, waarbij het langere record + SHA-256 gebruikt.</para> + + <programlisting>. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E +. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</programlisting> + + <para>Het SHA-256 <acronym>RR</acronym> kan nu worden vergeleken met de + digest in <ulink + url="https://data.iana.org/root-anchors/root-anchors.xml">https://data.iana.org/root-anchors/root-anchors.xml</ulink>. + Om er absoluut zeker van te zijn dat er niet geknoeid is met de + sleutel kunnen de gegevens in het <acronym>XML</acronym>-bestand + worden gecontroleerd met de <acronym>PGP</acronym>-handtekening in + <ulink url="https://data.iana.org/root-anchors/root-anchors.asc">https//data.iana.org/root-anchors/root-anchors.asc</ulink>.</para>; + + <para>Vervolgens dient de sleutel juist geformateerd te worden. Dit + verschilt een beetje tussen versie 9.6.2 en versie 9.7 en later van + <acronym>BIND</acronym>. In versie 9.7 is ondersteuning toegevoegd om + automatisch veranderingen aan de sleutel te volgen en deze bij te + werken indien nodig. Dit wordt gedaan met + <literal>managed-keys</literal> zoals in het volgende voorbeeld te + zien is. Als de oudere versie gebruikt wordt, wordt de sleutel + toevoegd met een commando <literal>trusted-keys</literal> en dient + deze handmatig bijgewerkt te worden. Voor <acronym>BIND</acronym> + 9.6.2 ziet het formaat er uit als:</para> + + <programlisting>trusted-keys { + "." 257 3 8 + "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF + FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX + bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD + X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz + W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS + Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq + QxA+Uk1ihz0="; +};</programlisting> + + <para>Voor versie 9.7 ziet het formaat er echter zo uit:</para> + + <programlisting>managed-keys { + "." initial-key 257 3 8 + "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF + FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX + bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD + X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz + W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS + Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq + QxA+Uk1ihz0="; +};</programlisting> + + <para>De root-sleutel kan nu aan <filename>named.conf</filename> worden + toegevoegd, ofwel direct of door een bestand dat de sleutel bevat te + includen. Stel na deze stappen <acronym>BIND</acronym> in zodat het + <acronym>DNSSEC</acronym>-validatie uitvoert op queries door + <filename>named.conf</filename> te bewerken en het volgende aan de + directief <literal>options</literal> toe te voegen:</para> + + <programlisting>dnssec-enable yes; +dnssec-validation yes;</programlisting> + + <para>Om te controleren dat het ook echt werkt, kan + <application>dig</application> gebruikt worden om een query op een + ondertekende zone uit te voeren met de zojuist geconfigureerde + resolver. Een succesvol antwoord zal de vlag <literal>AD</literal> + bevatten om aan te geven dat de gegevens zijn geautenticeerd. Een + query als</para> + + <screen>&prompt.user; <userinput>dig @<replaceable>resolver</replaceable> +dnssec se ds </userinput></screen> + + <para>zou het <acronym>DS</acronym> <acronym>RR</acronym> paar voor de + <literal>.se</literal>-zone moeten teruggeven. In de sectie + <literal>flags:</literal> moet de vlag <literal>AD</literal> te zien + zijn, als in:</para> + + <programlisting>... +;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 +...</programlisting> + + <para>De resolver is nu in staat om <acronym>DNS</acronym>-queries te + autenticeren.</para> </sect3> -<!--rene keep build alive--> <sect3 id="dns-dnssec-auth"> <title>Configuratie van een autoratieve <acronym>DNS</acronym>-server</title> - <para/> + + <para>Om een autoratieve naamserver een met <acronym>DNSSEC</acronym> + ondertekende zone te laten serveren is wat meer werk nodig. Een zone + wordt ondertekend met cryptografische sleutels die aangemaakt moeten + worden. Het is mogelijk om hier slechts één sleutel + voor te gebruiken. De methode die de voorkeur verdient is echter om + een sterke, goed beschermde Key Signing Key (<acronym + role="Key Signing Key">KSK</acronym>) die niet vaak wordt geroteerd + en een Zone Signing Key (<acronym + role="Zone Signing Key">ZSK</acronym>) die vaker wordt geroteerd te + hebben. Informatie over aanbevolen procedures staat in <ulink + url="http://tools.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym>; + 4641: <acronym>DNSSEC</acronym> Operational Practices</ulink>. + Procedures betreffende de rootzone staan in <ulink + url="http://www.root-dnssec.org/wp-content/uploads/2010/06/icann-dps-00.txt"><acronym>DNSSEC</acronym>; + Practice Statement for the Root Zone <acronym>KSK</acronym> + operator</ulink> en <ulink url="http://www.root-dnssec.org/wp-content/uploads/2010/06/vrsn-dps-00.txt"><acronym>DNSSEC</acronym>; + Practice Statement for the Root Zone <acronym>ZSK</acronym> + operator</ulink>. De <acronym role="Key Signing Key">KSK</acronym> + wordt gebruikt om een autoriteitsketen voor de te valideren gegevens + op te bouwen en wordt daarom ook een Secure Entry Point (<acronym + role="Secrure Entry Point">SEP</acronym>)-sleutel genoemd. Een + message digest van deze sleutel, dat Delegation Signer (<acronym + role="Delegation Singer">DS</acronym>)-record genoemd wordt, moet + gepubliceerd zijn in de ouderzone om een vertrouwensketen op te + bouwen. Hoe dit bereikt wordt hangt af van de eigenaar van de + ouderzone. De <acronym role="Zone Signing Key">ZSK</acronym> wordt + gebruikt om de zone te ondertekenen, en hoeft alleen daar gepubliceerd + te worden.</para> +<!--rene hier--> </sect3> </sect2>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201107182116.p6ILGiqi000241>