readme.txt

   1 microdnssec, (c) Svenne Krap (svenne@krap.dk), 2010
   2 released under 2-clause BSD-license
   3
   4 Design goals:
   5 - small
   6 - few dependencies (bash, bind, ssh)
   7 - offline (i.e. not having the private-keys on the dns servers)
   8
   9 Limitations (by design):
  10 - needs bind and ssh-access set up already
  11 - needs bind set up to include zone.conf (or equivalent) to get managed zones
  12 - no way to handle unsigned zones
  13 - no way to handle dns-information (you must be able to provide zonefiles)
  14 - no secondary dns-server support (but can run as N primaries)
  15
  16 Limitations (to be fixed):
  17 - no welcome banner (or version-info) in scripts
  18 - hardcorded paths (shebangs)
  19 - script for handling ds-handovers not begun
  20
  21 Before use there are multiple things you need to do:
  22 1) have one or more servers running bind (9.6.x) you can ssh into
  23 2) set up this bind to include an autogenerated file (seczone.conf for example)
  24 3) configure microdnssec in conf/settings (start out with a copy from
  25 conf/settings.sample)
  26
  27 Workflow - new domains:
  28 - prepare-zone.sh <zone> <zone-maintainer-mail>
  29    (i.e. prepare-zone example.com dns@example.com )
  30 - edit-zone.sh <zone>
  31 - sign-zone.sh <zone>
  32 - update-zone-conf.sh
  33
  34 Work-flow resign :
  35 - refresh-signatures.sh
  36
  37 Work-flow key-roll-over
  38 - make-{z,k}sk.sh <zone>
  39 - sign-all.sh
  40 > pass DS-record upstream, if needed
  41 - list-keys.sh <zone>
  42 > find the correct key to expire
  43 - retire-key.sh <zone> <key> (copy/paste key from list-keys output)
  44 > wait til all signatures from the old key has expired
  45 - purge-retired-keys.sh <zone>