產生DNSKEY
ZSK
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE domain.name
KSK
dnssec-keygen -r /dev/urandom -f KSK -a RSASHA1 -b 2048 -n ZONE domain.name
檔案名稱格式
K(domain name)+(演算法)+(Key id).[private, key]
將DNSKEY加入Zone file
加入DNSKEY之前可先用 cp zone file,保留檔案
加入DNSKEY
cat K*.key >> /var/named/domain_zone_file
請注意使用附加( >> ),使用 cat 表示把 key 放入 zone 內,表示要 Publish Key
簽署網域
語法:dnssec-signzone -o (網域名稱) -k (KSK key) (Zone file 位置) (ZSK key)
dnssec-signzone -o example.tw –k Kdomain_name_KSK.key domain_zone_file Kdomain_name.ZSK.key
表示被指定的 Key 要 Activate
若 Key 已經被放入(cat) Zone 內,卻沒被 dnssec-signzone 指定,表示為 Publish 或是 Inactivate Key
簽署後會產生新檔案 domain_zone_file.signed
指定 RRSIG 有效時間
語法:dnssec-signzone -s (RRSIG 起始時間) -e (RRSIG 有效時間)
時間格式:YYYYMMDDHHMMSS
+offset ( from 起始時間 )
“now”+offset ( from now )
預設時間為 now + 30 天
修改/etc/named.conf
將domain對應的zone file 改成簽署過的檔案 domain_zone_file.signed
ex:
zone “domain name” {
type master;
file “domain_zone_file.signed”;
};
啟動 named
/etc/init.d/named restart
檢查log
查看 /var/log/message
驗證
dig +dnssec @localhost domain_name ns
dig +dnssec @localhost domain_name mx
dig +dnssec @localhost domain_name a
ps.斜線部分請自行更改為需要的文字
留言列表