Настройка BIND9 (версия 9.16) для разрешения обновлений TXT DNS от Letsncrypt

Решение следующей проблемы: Используйте $ddns-confgen или же $tsig-keygen, первый предоставляет вам синтаксис для вставки в ваш named.conf файл

Проблема:

Я пытаюсь настроить BIND9 (ver9.161-Ubuntu), чтобы позволить мне создавать записи TXT, которые Letsecrypt может использовать для проверки домена, что в конечном итоге позволяет создавать сертификаты SSL для внутренних/частных систем.

Документации по процессам предостаточно, в частности пошаговое руководство от Home Assistant (комплект домашней автоматизации по настройке nginx + letsencrypt). ОДНАКО алгоритмы и процессы, по-видимому, изменились с момента первоначального создания документации.

Документация требует, чтобы был сгенерирован ключ DNSSEC, позволяющий обновлять хост.

$dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST letsencrypt

dnssec-keygen: фатальный: неизвестный алгоритм HMAC-SHA512

Если я побегу dnssec-keygen --help, он предоставляет список алгоритмов, которые

"RSASHA1 | NSEC3RSASHA1 | RSASHA256 | RSASHA512 | ECDSAP256SHA256 | ECDSAP384SHA384 | ED25519 | ED448 | DH"

Если вышеуказанная команда изменена на: РСАША512 и размер ключа меняется на 1024 затем системные ошибки с:

dnssec-keygen: фатальный: неверный тип имени DNSKEY HOST

После прохождения алгоритма единственным, который не выдает ошибку, является DH, при установке алгоритма на DH генерируется ключ.

Следующая проблема заключается в том, что протокол DH не распознается при использовании в файле name.conf.local.

добавление ключевого раздела в named.conf.local файл:

ключ "letsencrypt" {
  алгоритм ДХ;
  секрет "averylongkey==";
};

но когда я бегу:

$ sudo с именем-checkconf
/etc/bind/named.conf.local:14: неизвестный алгоритм «DH»

В основном старая документация просит вас использовать устаревший метод кейгена.

Вам не нужен ключ DNSSEC. Вам нужен ключ RNDC. Выполнить, например. rndc-confgen для создания предлагаемой конфигурации и секрета. Возможно, вам придется адаптировать эту конфигурацию в соответствии с вашими потребностями в отношении хостов, которым разрешено обновление, и привязки интерфейсов, которые должны принимать обновления.

На самом деле это просто настройка обычной конфигурации, позволяющей динамически обновлять зону.

Создайте ключ, подходящий для TSIG, например:

$ tsig-keygen ключ letsencrypt
ключ "letsencrypt-ключ" {
        алгоритм hmac-sha256;
        секрет "igyPH4oXPjutSfJVpv3CTgTjxSOyehJ7uVO274UuUDo=";
};
$

и поместите этот ключ в свой конфиг.

Затем для соответствующей зоны добавьте политика обновления который позволяет клиенту, использующему этот ключ, управлять любыми записями, которые вам нужны для этой цели.

Например

зона "example.com {
...
    политика обновления {
        предоставить letsencrypt-ключ. имя _acme-challenge.www.example.com. ТЕКСТ;
        предоставить letsencrypt-ключ. имя _acme-challenge.example.com. ТЕКСТ;
        ...
    };
};

Примечание:
Имейте в виду, что когда зона настроена на управление с помощью динамических обновлений, внесение изменений в файл зоны недопустимо ни для чего, кроме самого BIND.
Это подразумевает несколько иной рабочий процесс, если файл редактировался непосредственно перед этим, но в целом я бы сказал, что это более современный и менее подверженный ошибкам подход, когда все изменения вносятся через протокол динамических обновлений, а не внешние процессы, записывающие в файл зоны напрямую. Инструмент как например нсви допускает аналогичный опыт редактирования, но с изменениями, применяемыми через динамические обновления.