[dnssec] Mise en place de la signature des zones DNS et de la gestion des clefs

Ignore-this: d9a61a9c8fb5916f74dc605790101ae9

darcs-hash:20120408230250-3651d-cc3405f0e5bf46be54a262e614bb8eebe49a8b85.gz

gestion/dns/generer_KSK.sh

@@ -0,0 +1,40 @@
+#!/bin/bash
+# Generation d'une nouvelle clef KSK 
+
+DATE=`date --utc +%s`
+
+cd /etc/crans/secrets/dnssec
+
+if [[ $1 == "" ]]
+    then echo "Usage: $0 nom_de_la_zone"
+	 echo "Exemple: $0 wifi.crans.org"
+	 exit
+fi
+
+echo "Generation nouvelle KSK pour $1"
+dnssec-keygen -f KSK -r /dev/urandom -a RSASHA256 -b 4096 -n ZONE $1
+
+## On renomme de façon utilisable
+mv K$1.+*.key K$1.$DATE.KSK.key
+mv K$1.+*.private K$1.$DATE.KSK.private
+
+## On met a jour les liens symboliques vers la clef actuelle
+rm K$1.KSK.key
+rm K$1.KSK.private
+
+ln -s K$1.$DATE.KSK.key K$1.KSK.key
+ln -s K$1.$DATE.KSK.private K$1.KSK.private
+
+## On genere une nouvelle ZSK
+bash /usr/scripts/gestion/dns/generer_ZSK.sh $1
+
+## On met à jour le fichier inclu dans la zone
+bash generer_include_zone.sh $1
+
+if [[ $1 == "crans.org" ]] 
+    then echo "*** METTRE A JOUR LE CONDENSAT AUPRES DU REGISTRAR***"
+	 echo "*** Les infos sont dans Kcrans.org.KSK.key ***"
+fi
+
+echo "*** Penser à supprimer l'ancienne clef dans quelques semaines ***"
+

gestion/dns/generer_ZSK.sh

@@ -0,0 +1,30 @@
+#!/bin/bash
+# Generation d'une nouvelle clef ZSK pour une zone
+
+DATE=`date --utc +%s`
+
+cd /etc/crans/secrets/dnssec
+
+if [[ $1 == "" ]]
+    then echo "Usage: $0 nom_de_la_zone"
+         echo "Exemple: $0 wifi.crans.org"
+         exit
+fi
+
+
+echo "Generation nouvelle ZSK pour $1"
+dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE $1
+
+## On renomme de façon utilisable
+mv K$1.+*.key K$1.$DATE.ZSK.key
+mv K$1.+*.private K$1.$DATE.ZSK.private
+
+## On met a jour les liens symboliques vers la clef actuelle
+rm K$1.ZSK.key
+rm K$1.ZSK.private
+
+ln -s K$1.$DATE.ZSK.key K$1.ZSK.key
+ln -s K$1.$DATE.ZSK.private K$1.ZSK.private
+
+## On met à jour le fichier inclu dans la zone
+bash /usr/scripts/gestion/dns/generer_include_zone.sh $1

gestion/dns/generer_include_zone.sh

@@ -0,0 +1,14 @@
+#!/bin/bash
+
+cd /etc/crans/secrets/dnssec
+
+if [[ $1 == "" ]]
+    then echo "Usage: $0 nom_de_la_zone"
+         echo "Exemple: $0 wifi.crans.org"
+         exit
+fi
+
+rm zone_$1
+
+cat K$1*.key >> zone_$1
+

gestion/dns/remplacer_toutes_KSK.sh

@@ -0,0 +1,9 @@
+#!/bin/bash
+# Replacer les clefs ZSK de toutes les zones
+
+cd /etc/crans/secrets/dnssec
+
+for zone in  0.0.0.0.0.0.0.0.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa 140.231.138.in-addr.arpa 147.231.138.in-addr.arpa 243.42.10.in-addr.arpa adm.v6.crans.org g.crans.org 0.0.0.0.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa 141.231.138.in-addr.arpa 148.231.138.in-addr.arpa 4.0.0.0.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa clubs.ens-cachan.fr tv.crans.org 136.231.10.in-addr.arpa 142.231.138.in-addr.arpa 149.231.138.in-addr.arpa 4.0.8.c.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa crans.ens-cachan.fr v6.crans.org 136.231.138.in-addr.arpa 143.231.138.in-addr.arpa 150.231.138.in-addr.arpa 42.42.10.in-addr.arpa crans.org wifi.crans.org 137.231.138.in-addr.arpa 144.231.138.in-addr.arpa 151.231.138.in-addr.arpa 7.f.0.0.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa wifi.v6.crans.org 138.231.138.in-addr.arpa 145.231.138.in-addr.arpa 186.42.10.in-addr.arpa 9.2.10.in-addr.arpa ferme.crans.org 139.231.138.in-addr.arpa 146.231.138.in-addr.arpa 239.in-addr.arpa adm.crans.org ferme.v6.crans.org 
+do
+   bash /usr/scripts/gestion/dns/generer_KSK.sh $zone
+done

gestion/dns/remplacer_toutes_ZSK.sh

@@ -0,0 +1,9 @@
+#!/bin/bash
+# Replacer les clefs ZSK de toutes les zones
+
+cd /etc/crans/secrets/dnssec
+
+for zone in  0.0.0.0.0.0.0.0.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa 140.231.138.in-addr.arpa 147.231.138.in-addr.arpa 243.42.10.in-addr.arpa adm.v6.crans.org g.crans.org 0.0.0.0.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa 141.231.138.in-addr.arpa 148.231.138.in-addr.arpa 4.0.0.0.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa clubs.ens-cachan.fr tv.crans.org 136.231.10.in-addr.arpa 142.231.138.in-addr.arpa 149.231.138.in-addr.arpa 4.0.8.c.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa crans.ens-cachan.fr v6.crans.org 136.231.138.in-addr.arpa 143.231.138.in-addr.arpa 150.231.138.in-addr.arpa 42.42.10.in-addr.arpa crans.org wifi.crans.org 137.231.138.in-addr.arpa 144.231.138.in-addr.arpa 151.231.138.in-addr.arpa 7.f.0.0.d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa d.3.e.f.0.4.2.0.1.0.a.2.ip6.arpa wifi.v6.crans.org 138.231.138.in-addr.arpa 145.231.138.in-addr.arpa 186.42.10.in-addr.arpa 9.2.10.in-addr.arpa ferme.crans.org 139.231.138.in-addr.arpa 146.231.138.in-addr.arpa 239.in-addr.arpa adm.crans.org ferme.v6.crans.org 
+do
+   bash /usr/scripts/gestion/dns/generer_ZSK.sh $zone
+done