input/howto/dns.mdwn

   1 # debian.org DNS
   2
   3 For most zones the hidden primary is draghi, with ravel, senfl, klecker
   4 and orff being the public facing secondaries.
   5
   6 Domain information lives in a git on draghi, and pushing to it will cause
   7 the zone to be compiled and reloaded automatically.  Repository lives at
   8 ssh://dns.debian.org/git/domains.git - public read only mirror available
   9 using http.
  10
  11 Some subdomains (and when I say subdomains, I really only mean www) are
  12 served by the geodns setup on geo1, 2, and 3.  They have a seperate repo
  13 ssh://dns.debian.org/git/dsa-geodomains.git and an entirely seperate workflow.
  14
  15 At least it's consistent.
  16
  17 # DNSSEC
  18
  19 Adding DNSSEC KSK and ZSK for zones is done by running
  20 /srv/dns.debian.org/bin/maintkeydb with the following options:
  21
  22 ./bin/maintkeydb create both NSEC3RSASHA1 default your.ip6.arpa
  23
  24 Use RSASHA1 instead of NSEC3RSASHA1 for IPv4 address space.
  25
  26 After that a "; wzf: dnssec = 1" needs to be added to the zone file.
  27
  28 ## DLV
  29
  30 In order to publish our trust anchors in the ISC DLV, add
  31 "; dlv-submit = yes" to the zonefile, then run the dlv-submit-many script
  32 in /org/dns.debian.org/dlv-sync.
  33
  34 In order to authenticate our control of that zone to ISC you'll have to
  35 manually add a DLV cookie to the respective zone.  After adding it you either
  36 need to wait a day or so for ISC to re-check by themselves (re-run the script
  37 for status information) or trigger a re-check on their website.
  38
  39 Once they have verified the cookie it can be removed from the zone again.