.UA ccTLD Domain Network Information Centre

Программа тестирования расширения DNSSEC к протоколу EPP

  • Подготовка к тестированию
    1. ознакомиться с Регламентом и документацией
    2. создать 2 пары ключей (рекомендуемая длина ключа не менее 1024, используемый алгоритм должен быть не ниже 8):
      Первая пара – ZSK (Zone signing key) используется для подписи зонного файла
      Вторая пара – KSK (Key signing key) используется для подписи ключа ZSK и формирования DS-записей, которые передаются в реестр
    3. поднять доменную зону на ns-серверах с поддержкой DNSSEC, добавить в зону пару публичных ключей (RR DNSKEY 256 и RR DNSKEY 257)
    4. подписать доменную зону ключем ZSK, получить 1 или 2 DS записи (допустимые типы дайджеста 2 (SHA-256) и 4 (SHA-384)
    5. подготовить полученные DS-записи и публичный KSK ключ для передачи:
      • дайджест DS-записи должен быть одной строкой без пробелов, длиной 64 hex-символа для SHA-256 и 96 hex-символа для SHA-384.
      • ключ DNSKEY (если планируется использовать для дополнительного контроля) должен быть одной строкой (пез переносов).

  • Тестирование внесения / удаления DS-записей - рекомендуемый способ работы с DS-записями
    1. Соединение с сервером, получение <greeting>, проверка включения расширения <extURI>http://hostmaster.ua/epp/secDNS-1.1</extURI>
    2. login. Список расширений, указанный в команде login в блоке <svcs>, должен совпадать со списком, полученным из <greeting>
    3. check contact / create contact - проверка существования контакта или его создание.
    4. check host / create host - проверка существования хоста или его создание (для каждого хоста)
    5. create domain - cоздание домена без DS-записей
    6. update domain с secDNS:add - добавление 1 или 2 DS-записи
    7. domain info - получение информации по домену
    8. update domain c secDNS:rem - удаление одной из записей
    9. domain info - получение информации по домену
    10. update domain с secDNS:add - добавление 1 или 2 DS-записи (если записей DS в домене не осталось)
    11. update domain c secDNS:rem all - удаление всех DS-записей
    12. domain info - получение информации по домену
    13. update domain с secDNS:add - добавление 1 или 2 DS-записи (add DS) с передачей ключа DNSKEY (блок keyData), проверка соответствия DS-записи и ключа.
    14. domain info - получение информации по домену
    15. logout

  • Тестирование создания домена с DS-записями
    1. Соединение с сервером, получение <greeting>, проверка включения расширения <extURI>http://hostmaster.ua/epp/secDNS-1.1</extURI>
    2. login. Список расширений, указанный в команде login в блоке <svcs>, должен совпадать со списком, полученным из <greeting>
    3. check contact / create contact - проверка существования контакта или его создание.
    4. check host / create host - проверка существования хоста или его создание (для каждого хоста)
    5. create domain с secDNS:create - cоздание домена c 1 или 2 DS-записями. Для контроля соответствия DS-записи и ключа желательно передать ключ DNSKEY (блок keyData).
    6. domain info - получение информации по домену
    7. logout