DNSSEC für Subdomain

  • Hi,


    ist es möglich, dass wenn man eine Subdomain als eigene Zone anlegt, diese auch per DNSSEC zu signieren?


    Eine automatische Signatur durch die Hauptdomain wäre vielleicht ganz praktisch an dieser stelle.


    MfG Azoul

  • Ich verstehe die Frage nicht wirklich.


    Eine Subdomain ist technisch betrachtet nur ein "Resource Record" innerhalb einer Domain (=Zone).
    Wenn ich für "blabla.example.org" also eine DNSSEC-Signatur haben möchte, dann muss in der dazugehörigen Zone (example.org) ein entsprechender Key hinterlegt sein.


    LiveConfig (bzw. BIND) signiert selbstverständlich auch alle Subdomains etc. innerhalb einer mit DNSSEC signierten Zone.


    Viele Grüße


    -Klaus Keppler

  • Ich habe eine Subdomain (blabla.example.com) unter "Mein Hosting" als eigene Domain angelegt und einen DNSSEC Key für diese Domain erstellt. Der Key muss ja jetzt von der nächsthöheren Zone (example.com) signiert werden. Wie kann ich das machen?


    Oder habe ich da einen Gedankenfehler? :confused:

  • Ich habe eine Subdomain (blabla.example.com) unter "Mein Hosting" als eigene Domain angelegt und einen DNSSEC Key für diese Domain erstellt.


    Ah ja. Es geht also um eine eigene Unter-Zone.
    Voraussetzung ist, dass die übergeordnete Domain (example.org) DNSSEC-signiert ist.


    In diesem Fall muss der DS-Record in der übergeordneten Zone hinterlegt werden.
    In "example.org" stehen ja für "blabla.example.org" bereits mindestens zwei NS-Records. Da muss der DS-Record dazu. Den Hash und die Parameter für den DS-Records kann man sich im LiveConfig anzeigen lassen (bei der Anzeige der DNSSEC-Schlüssel im Tab "DS-RR").

  • Die übergeordnete Domain (example.com) ist bereits DNSSEC-signiert. Das funktioniert auch einwandfrei.


    Die Frage ist jetzt, wie ich den DS-Record hinzufügen kann. Den direkt in die Zonefile schreiben bringt ja nichts, da LiveConfig diese ja bei Änderungen überschreibt. Und in der GUI bei "Eigene DNS-Einträge" gibt es keine Option für DS-Records.

  • Innerhalb einer LiveConfig-Umgebung macht das wenig Sinn. Als DNS-Server für die Sub-Zone wären ja die selben wie für die Zone selbst eingetragen.


    Es dürfte einfacher sein, die gewünschte Subdomain bei der Hauptzone direkt anzulegen (also nur den A-Record). Beim anderen Vertrag, wo diese verwendet werden soll, wird die dann über "Domain hinzufügen" angelegt, dort aber "externe Nameserver" ausgewählt.

  • Es dürfte einfacher sein, die gewünschte Subdomain bei der Hauptzone direkt anzulegen (also nur den A-Record). Beim anderen Vertrag, wo diese verwendet werden soll, wird die dann über "Domain hinzufügen" angelegt, dort aber "externe Nameserver" ausgewählt.


    Ok, konkretes Beispiel:


    - Kunde hat Vertrag "web1", mit Domain "example.com". DNSSEC aktiv.
    - Kunde bucht zweiten Vertrag. Getrennte Leistungen, getrennter Server - mit Subdomain "shop.example.com". Muss ja als Haupt-Domain hinterlegt werden.


    Wenn die Domain "shop.example.com" nun als "extern" angelegt wird, kann ich ja nicht DNS-Einträge bei "example.com" anlegen, da die ja schon in der "shop.example.com" existieren, oder? ...


    DS und NS-Records kann ich aber in LiveConfig -> Endkunde -> Domains nicht erstellen.

  • Wenn die Domain "shop.example.com" nun als "extern" angelegt wird, kann ich ja nicht DNS-Einträge bei "example.com" anlegen, da die ja schon in der "shop.example.com" existieren, oder? ...


    Man kann im zweiten Vertrag (web2) nur keine Subdomains unterhalb von "shop.example.com" anlegen.


    Das einfachste Vorgehen wäre wirklich so:
    - Vertrag web2 anlegen, IP des Webspace herausfinden (z.B. "1.2.3.4").
    - Vertrag web1 öffnen, dort eine Subdomain "shop.example.com" anlegen: kein Webspace, kein E-Mail, A-Record auf o.g. IP setzen (1.2.3.4). Wenn DNSSEC für "example.org" aktiv ist, wird diese Subdomain somit automatisch auch signiert.
    - neue Domain "shop.example.org" anlegen, als Zielvertrag "web2" angeben, "externe DNS-Server" auswählen
    - im Vertrag "web2" die Domain "shop.example.org" wie gewünscht konfigurieren...


    Zitat

    DS und NS-Records kann ich aber in LiveConfig -> Endkunde -> Domains nicht erstellen.


    Hierfür besteht in 99,999% aller Fälle kein Bedarf, daher gibt es diese RR-Typen bislang dort nicht.


    Viele Grüße


    -Klaus Keppler

  • Das einfachste Vorgehen wäre wirklich so:
    - Vertrag web2 anlegen, IP des Webspace herausfinden (z.B. "1.2.3.4").
    - Vertrag web1 öffnen, dort eine Subdomain "shop.example.com" anlegen: kein Webspace, kein E-Mail, A-Record auf o.g. IP setzen (1.2.3.4). Wenn DNSSEC für "example.org" aktiv ist, wird diese Subdomain somit automatisch auch signiert.
    - neue Domain "shop.example.org" anlegen, als Zielvertrag "web2" angeben, "externe DNS-Server" auswählen
    - im Vertrag "web2" die Domain "shop.example.org" wie gewünscht konfigurieren...


    Klappt - habe den Fehler auch gefunden: "ich dachte, es darf keine Domain(s) doppelt geben".


    Mit dem zusätzlichen DNS-Eintrag für "*.shop.example.com" klappts auch mit Subdomains.


    Wieder was gelernt - Danke!

  • Ich konnte das jetzt auch testen und nach der Anleitung von kk klappt das auch soweit. Nur ist die Verwaltung dadurch sehr unschön, in meinen Augen.


    kk ist in Zukunft geplant weitere RR-Typen zu implementieren und eventuell dadurch auch die Möglichkeit DNSSEC-Keys eigener Subdomain-Zonen zu signieren?

  • NS-Records würden überwiegend zu unnötigen Support-Anfragen führen. Dennoch würde ich es begrüßen wenn dieses Feature pro Vertrag freigeschaltet werden könnte.

    # Das Gras wächst nicht schneller wenn man daran zieht # Bitte keine inflationären Vollzitate #

  • NS-Records sind in ganz seltenen Fällen gewünscht, bspw wenn eine Sub-Zone auf externe NS delegiert werden soll. Dies sollte je Vertrag oder ggf. je Domain aktiviert werden können.

    # Das Gras wächst nicht schneller wenn man daran zieht # Bitte keine inflationären Vollzitate #

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!