ROAキャッシュサーバの設置方法
2019年1月10日 APTサーバーURL変更に伴うコマンドの修正
2014年9月29日 初版
ROAキャッシュサーバは、 LinuxなどのUNIXに準じたサーバを使って設置できます。 ROAキャッシュサーバを設置すると、 ROAパブリックキャッシュサーバを使わずに、ROAを利用できます。 数少ないROAパブリックキャッシュサーバに集中してアクセスしなくてもよくなるため、 ROAパブリックキャッシュの運用に依存せずにROAの利用が可能です。
Ubuntu 14.04LTSにてパッケージのインストール
$ wget -q -O - http://download.rpki.net/APT/apt-gpg-key.asc | sudo apt-key add -
$ sudo wget -q -O /etc/apt/sources.list.d/rpki.list https://download.rpki.net/APT/rpki.trusty.list
$ sudo apt-get update
$ sudo apt-get install rpki-rp
RPKI/ROA取得、証明書・ROA検証ソフトウェア(rcynic)の設定
~$ vi /etc/rcynic.conf
[rcynic]
rsync-program = /usr/bin/rsync
authenticated = /var/rcynic/data/authenticated
unauthenticated = /var/rcynic/data/unauthenticated
lockfile = /var/rcynic/data/lock
xml-summary = /var/rcynic/data/rcynic.xml
jitter = 600
use-syslog = true
log-level = log_debug
#
trust-anchor-directory = /etc/rpki/trust-anchors/
rpki-rtrサーバの設定
rpki-rtrは一般的にxinetd経由で起動します。 パッケージですでにインストールされているはずですので確認してください。
$ cat /etc/xinetd.d/rpki-rtr
service rpki-rtr
{
type = UNLISTED
flags = IPv4
socket_type = stream
protocol = tcp
port = 323
wait = no
user = rpkirtr
server = /usr/bin/rpki-rtr
server_args = server /var/rcynic/rpki-rtr
}
rcynicテスト
$ sudo rcynic -j 1 -c /etc/rcynic.conf
$ scan_roas /var/rcynic/data/authenticated | more
上記コマンドにより、 IPアドレスとASの組み合わせが確認できればrcynicは成功しています。
rtr-orignテスト
$ sudo rpki-rtr cronjob /var/rcynic/data/authenticated /var/rcynic/rpki-rtr
$ sudo rpki-rtr client tcp localhost 323
上記コマンドにより、 IPアドレスとASの組み合わせが確認できればrpki-rtrは成功しています。 rpki-rtr clientモードはCtrl-Cで終了してください。
cron設定
定期的にRPKI・ROAを取得できるように設定します。
#!/bin/sh -
/usr/bin/rcynic -c /etc/rcynic.conf -j 1
/usr/bin/rpki-rtr cronjob /var/rcynic/data/authenticated /var/rcynic/rpki-rtr
上記のスクリプトを定期的にCronへ設定し、 rootアカウントで実行してRPKI/ROAを取得します。
