Configurarea BIND9 (ver 9.16) pentru a permite actualizările TXT DNS de la Letsncrypt

Soluție la problema de mai jos: Utilizați $ddns-confgen sau $tsig-keygen, primul vă oferă sintaxa pentru a lipi în dvs numit.conf fişier

Problemă:

Încerc să configurez un BIND9 (ver9.161-Ubuntu) pentru a-mi permite să creez înregistrări TXT pe care Letsecrypt le poate folosi pentru a valida domeniul, în cele din urmă pentru a permite generarea de certificate SSL pentru sistemele interne/private.

Există o mulțime de documentație despre procese, în special un ghid pas cu pas de la Home Assistant (suita de automatizare a casei despre configurarea nginx + letsencrypt). CU toate acestea, algoritmii și procesele par să se fi schimbat de când documentația a fost produsă inițial.

Documentația necesită generarea unei chei DNSSEC pentru a permite actualizările gazdei

$dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST letsencrypt

dnssec-keygen: fatal: algoritm necunoscut HMAC-SHA512

Dacă fug dnssec-keygen --help, oferă o listă de algoritmi care sunt

„RSASHA1 | NSEC3RSASHA1 | RSASHA256 | RSASHA512 | ECDSAP256SHA256 | ECDSAP384SHA384 | ED25519 | ED448 | DH”

Dacă comanda de mai sus este schimbată în: RSASHA512 iar dimensiunea cheii se modifică în 1024 atunci erorile de sistem cu:

dnssec-keygen: fatal: tip de nume DNSKEY HOST invalid

După ce parcurgeți algoritmul, singurul care nu aruncă o eroare este DH, prin setarea alogoritmului la DH se generează o cheie.

Următoarea problemă este că protocolul DH nu este recunoscut atunci când este utilizat în fișierul name.conf.local.

adăugarea unei secțiuni cheie în numit.conf.local fişier:

cheie „letsencrypt” {
  algoritmul DH;
  secret "averylongkey=";
};

dar cand alerg:

$ sudo named-checkconf
/etc/bind/named.conf.local:14: algoritm necunoscut „DH”

Practic, documentația veche vă cere să utilizați o metodă de keygen învechită.

Nu aveți nevoie de o cheie DNSSEC. Ai nevoie de o cheie RNDC. Rulați de ex. rndc-confgen pentru a genera o configurație propusă și un secret. Poate fi necesar să adaptați această configurație pentru a se potrivi nevoilor dvs. în ceea ce privește gazdele cărora li se permite să se actualizeze, iar interfețele care se leagă ar trebui să accepte actualizări.

Acesta este de fapt doar configurarea unei configurații normale pentru a permite actualizări dinamice ale zonei.

Creați o cheie care este potrivită pentru TSIG, de exemplu:

$ tsig-keygen letsencrypt-key
cheie „letsencrypt-key” {
        algoritmul hmac-sha256;
        secret „igyPH4oXPjutSfJVpv3CTgTjxSOyehJ7uVO274UuUDo=";
};
$

și puneți această cheie în configurația dvs.

Apoi pentru zona relevantă adăugați un actualizare-politică care permite unui client care utilizează această cheie să gestioneze orice înregistrare(e) de care aveți nevoie în acest scop.

De exemplu

zona „example.com {
...
    update-policy {
        acordați letsencrypt-key. nume _acme-challenge.www.example.com. TXT;
        acordați letsencrypt-key. nume _acme-challenge.example.com. TXT;
        ...
    };
};

Notă marginală:
Rețineți că atunci când o zonă este configurată pentru a fi gestionată prin actualizări dinamice, nu este potrivit ca nimic altceva decât BIND să facă modificări în fișierul zonei.
Acest lucru implică un flux de lucru oarecum diferit dacă fișierul a fost editat direct înainte, dar, în general, aș spune că aceasta este o abordare mai modernă și mai puțin predispusă la erori pentru a avea toate modificările făcute prin protocolul de actualizări dinamice, în loc de procesele externe scrise în fișierul de zonă direct. Instrumente ca de exemplu nsvi permite o experiență de editare similară, dar cu modificările aplicate prin actualizări dinamice.