Bereite DNSSEC mit Cloudflare vor

Um den Prozess der Aktivierung von DNSSEC mit Cloudflare zu starten, wählst Du die Registerkarte DNS Deiner Domain und scrollst Sie nach unten. Klicke dann auf „DNSSEC aktivieren“.
Dann wirst Du viele Details über die zu konfigurierende Aktualisierung sehen und Cloudflare bittet Dich, die Einträge Dein Domain bei Deinem Registrar zu aktualisieren. Lass die aktuelle Seite am besten geöffnet und melden Dich jetzt bei INWX an.

DNSSEC einrichten bei INWX

Nach dem Einloggen in INWX suchst Du nun in der Seitenleiste die Registerkarte „DNSSEC“ und klickst auf „DNSSEC hinzufügen“ – dann wird ein Popup Fenster geöffnet. Deaktiviere dort in diesem Popup zunächst das Kontrollkästchen „automatischer Modus“, wodurch zwei zusätzliche Felder angezeigt werden. Sie benötigen nur das erste Feld.

Leider fordert INWX hier den DNSKEY RR-Eintrag an, der nicht als copy & paste verfügbar ist. Das müssen wir nun selbst erledigen. Die offizielle Spezifikation für DNSSEC hat dabei sehr geholfen.
Ein DNSKEY RR-Eintrag sieht wie folgt aus (die zweite Zeile dient hier als Referenz, um die Teile zu erklären):

example.com. 86400 IN DNSKEY 256  3   5  AQPSKmynfzW4kyB[...]aNvv4w==
 [1]          [2]             [3] [4] [5] [6]
  • [1] = The domain written as a domain host which appends a dot to the end.
  • [2] = The TTL, or expiration timeframe.
  • [3] = Specifies a Zone Key bit in the Flags field.
  • [4] = A fixed protocol value.
  • [5] = Specifies the used public key algorithm.
  • [6] = The public key for the domain DNSSEC entry.

Oder um es ein wenig zu vereinfachen:

{beispiel.de}. IN DNSKEY 257 3 {ALG} {PUBKEY}

Wie man den DNSKEY RR bildet, anhand der Daten von Cloudflare

Wie gesagt, Cloudflare liefert eine Menge Werte, aber nicht den kopierfertigen DNSKEY RR-Eintrag. Aber es ist recht einfach, ihn selbst zu erstellen. Öffne Deinen Lieblings-Texteditor und fange an.

  1. Als erstes kopieren wir den DS Record von Cloudflare.
  2. Ersetze IN DS durch IN DNSKEY.
  3. Dann ersetzen wir die Nummer welche den Key Tag darstellt (z.B. 2345) mit dem Wert der bei Flags steht (z.B. 257).
  4. Ersetze die letzten beiden Zahlen, z.B. 13 2, durch 3 13, da die 3 ein fester Wert im DNSKEY-Eintrag ist und die 13 der offizielle Algorithmus ist, der von Cloudflare verwendet wird.
  5. Ersetze die lange, letzte Zeichenfolge durch den Wert des Felds Public Key.

Nun sollte der Eintrag in etwa so aussehen:

yourdomain.com. 3600 IN DNSKEY 257 3 13 oJB1W6WNGv+ldv[...]eDQfsS3Ap3o=

Und das ist nun unser frisch gebauter DNSKEY RR Wert, den wir nun bei INWX einfügen können.

Nun “Save” klicken und wir sind fertig. Es dauert nun ein wenig bis Cloudflare die Bearbeitung der Domain aber dann hast Du DNSSEC aktiviert. Fein, fein.