Problème DNSSEC et DS.

  • Auteur de la discussion Auteur de la discussion ortolojf
  • Date de début Date de début
WRInaute accro
Bonjour

Mon registrar est Gandi.

Mon ndd pronostics-courses.fr est géré par mes soins avec ISPCONFIG 1.13.

J'ai configuré les DNS avec ns1.pronostics-courses.fr primaire et ns6.gandi.net secondaire.

Il me semble que j'ai changé le type du certificat, tout en gardant l'ancien type temporairement.

Je ne savais pas qu'il fallait une manipulation avec la clé du DS parent.

Je me retrouve maintenant avec ce ns1 sans clé DS.

Puis-je revenir à des serveurs DNS Live Gandi ?

Voici ce que je me propose de faire :

- Désactiver DNSSEC avec ISPCONFIG,

- Vérification dnssec-validation = no dans /etc/bin/named.conf ,

- Propagation,

- Effacer le NS ns6.gandi.net de ma config DNS,

- Supprimer les fichiers de clés dans /etc/bind/

- Vérifier avec Zonemaster la validité des mes DNS.

- Enlever de ma config DNS externe Gandi le NS ns6..gandi.net

- Migrer ( comment ? ) vers les DNS Live Gandi.

- Pour finir, supprimer la config DNS sur mon VPS avec ISPCONFIG.

Celà vous paraît-il faisable ?
 
WRInaute accro
Pardon.

Pour l'instant, le SOA de mon pronostics-courses.fr est bloqué à 2024052410, avant que mette à jour ( le 25/05/2024 ) le DNSSEC ( les clés et DS ) sur mon serveur.

Je ne sais pas pourquoi le SOA est bloqué.

Il y a un champ DS possible sur la config DNS de ISPCONFIG 1.13.

Est-ce que je dois configurer ce champ DS ?

Merci beaucoup.
 
WRInaute accro
Ah bougre...

Je sais maintenant déduire le DS du fichier *.key de /etc/bind/

Et utiliser l'interface dsssec de Gandi pour transmettre le DS au parent.

Mais le champ DS de ISPCONFIG dans tout çà ?

Merci beaucoup de votre aide
 
WRInaute accro
Bonjour

Avec ISPCONFIG, j'ai décoché de DNSSEC le nouvel algorithme, et remis l'ancien algorithme.

Maintenant les clés ont l'air correctes :

root@server:/etc/bind# dnssec-verify -o pronostics-courses.fr pri.pronostics-courses.fr.signed
Loading zone 'pronostics-courses.fr' from file 'pri.pronostics-courses.fr.signed'

Verifying the zone using the following algorithms:
- NSEC3RSASHA1
Zone fully signed:
Algorithm: NSEC3RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked
ZSKs: 1 active, 0 stand-by, 0 revoked


Voici tous les fichiers*.key dans /etc/bind/ :

root@server:/etc/bind# ls -l K*key
-rw-r--r-- 1 root bind 369 May 22 09:17 Kns1.pronostics-courses.fr.+013+07934.key
-rw-r--r-- 1 root bind 369 May 22 09:17 Kns1.pronostics-courses.fr.+013+24423.key
-rw-r--r-- 1 root bind 626 Jun 2 09:15 Kpronostics-courses.fr.+007+13143.key
-rw-r--r-- 1 root bind 971 Jun 2 09:15 Kpronostics-courses.fr.+007+46200.key
-rw-r--r-- 1 root bind 341 May 22 12:15 Kpronostics-courses.fr.+013+22185.key
-rw-r--r-- 1 root bind 340 May 22 12:16 Kpronostics-courses.fr.+013+37140.key


Les clés DS sont trouvées :

root@server:/etc/bind# dnssec-dsfromkey Kpronostics-courses.fr.+007+13143.key
pronostics-courses.fr. IN DS 13143 7 2 XXXXXXXXXXXXXXXXXXXXXXXXXXXX

root@server:/etc/bind# dnssec-dsfromkey Kpronostics-courses.fr.+007+46200.key
pronostics-courses.fr. IN DS 13143 7 2 YYYYYYYYYYYYYYYYYYYYYYYYYYYY


J'ai fait ces manip à l'instant.


Compte tenu de la propagation, quand dois-je mettre les données DS sur l'interface DNSSEC de Gandi ?

Surtout, quels fichier *.key choisir pour celà :

Les deux clés DS ( XXXX et YYY ), ou non ?

Merci beaucoup de votre aide.
 
WRInaute accro
Pardon.

Excusez-moi de vous demander un conseil.

Je vais revenir aux DNS Live Gandi.

Ma simple question :

Plutôt que de remplir chaque records dns un par un, est-il possible d'importer un fichier le contenant, et si oui de quel format ?

Merci beaucoup de votre réponse.
 
WRInaute accro
Bonjour

Après moult procastination.

Revenu en Live Gandi.

Seul problème : Clé DKIM à mettre dans les dns.

Gandi est super.

Merci beaucoup nicodak. ;)
 
WRInaute accro
Bonjour

Désormais en DNSSEC par Gandi Live.

zonemaster me donne l'erreur suivante :

"The following servers respond with the NSEC3 iteration value 3. The recommended practice is to set this value to 0."

Je ne sais pas résoudre l'erreur.

Merci beaucoup de votre aide.
 
Discussions similaires
Haut