le wiki de Loan

Outils pour utilisateurs

Outils du site

Piste :
dnssec

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

dnssec [2025/11/17 10:28] – créée rootdnssec [2025/11/17 10:35] (Version actuelle) root
Ligne 1: Ligne 1:
----+====== 🚀 DNSSEC en interne avec BIND9 ======
  
-# 🚀 DNSSEC en interne avec BIND9 (signage + validation)+Cette fiche explique comment signer et valider une zone DNS interne avec BIND9, sans dépendre d’un prestataire externe.
  
-## 1️⃣ Activer DNSSEC côté serveur **maître**+===== 1️⃣ Activer DNSSEC côté serveur maître =====
  
 On va signer ta zone locale. On va signer ta zone locale.
  
-### a. Générer les clés+==== 🔐 a. Générer les clés ====
  
 Dans `/etc/bind/keys/` : Dans `/etc/bind/keys/` :
Ligne 24: Ligne 24:
 Tu obtiens 4 fichiers : Tu obtiens 4 fichiers :
  
-* `Kmondomaine.lan.+008+<id>.key` (pub) +  * `Kmondomaine.lan.+008+<id>.key` (pub) 
-* `Kmondomaine.lan.+008+<id>.private` (privé)+  * `Kmondomaine.lan.+008+<id>.private` (privé)
  
---- +==== 📄 b. Ajouter les clés dans la zone ====
- +
-### b. Ajouter les clés dans la zone+
  
 Dans `/etc/bind/zones/db.mondomaine.lan` : Dans `/etc/bind/zones/db.mondomaine.lan` :
Ligne 50: Ligne 48:
 ``` ```
  
---- +==== ✍️ c. Signer la zone ====
- +
-### c. Signer la zone+
  
 ```bash ```bash
Ligne 64: Ligne 60:
 👉 Ça génère `db.mondomaine.lan.signed` 👉 Ça génère `db.mondomaine.lan.signed`
  
---- +==== 📦 d. Charger la zone signée dans BIND ====
- +
-### d. Charger la zone signée dans BIND+
  
 Dans `/etc/bind/named.conf.local` : Dans `/etc/bind/named.conf.local` :
Ligne 85: Ligne 79:
 ``` ```
  
---- +===== 2️⃣ Activer la validation DNSSEC =====
- +
-## 2️⃣ Activer la **validation DNSSEC**+
  
 Ton serveur DNS peut aussi vérifier les signatures des domaines externes. Ton serveur DNS peut aussi vérifier les signatures des domaines externes.
Ligne 110: Ligne 102:
 ``` ```
  
---- +===== 3️⃣ Tester =====
- +
-## 3️⃣ Tester+
  
-Pour vérifier que ta **zone interne est signée** :+Vérifier que ta **zone interne est signée** :
  
 ```bash ```bash
Ligne 122: Ligne 112:
 Tu dois voir des enregistrements **RRSIG**. Tu dois voir des enregistrements **RRSIG**.
  
-Pour tester la **validation DNSSEC** :+Tester la **validation DNSSEC** :
  
 ```bash ```bash
Ligne 128: Ligne 118:
 ``` ```
  
-👉 Si la validation marche, la requête échouera volontairement (c’est un domaine cassé exprès).+👉 Si la validation marche, la requête échouera volontairement (domaine cassé exprès).
  
----+===== ✅ Résultat =====
  
-✅ Et voilà : tu as ton infra DNS interne **signée et validée** avec DNSSEC, sans dépendre d’un prestataire externe.+Tu as maintenant une infra DNS interne **signée et validée** avec DNSSEC, sans dépendance externe.
  
----+[[index|← Retour à l'accueil]]
  
dnssec.1763375294.txt.gz · Dernière modification : de root