Something's NoteBook on Cloud

產生DNSKEY
ZSK  
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE domain.name               
KSK
dnssec-keygen -r /dev/urandom -f KSK -a RSASHA1 -b 2048 -n ZONE domain.name      

檔案名稱格式
K(domain name)+(演算法)+(Key id).[private, key]

將DNSKEY加入Zone file
加入DNSKEY之前可先用 cp zone file，保留檔案
加入DNSKEY
cat K*.key >> /var/named/domain_zone_file                                                  
　請注意使用附加( >> )，使用 cat 表示把 key 放入 zone 內，表示要 Publish Key

簽署網域
語法：dnssec-signzone -o (網域名稱) -k (KSK key) (Zone file 位置) (ZSK key)
dnssec-signzone -o example.tw –k Kdomain_name_KSK.key domain_zone_file Kdomain_name.ZSK.key    

表示被指定的 Key 要 Activate
若 Key 已經被放入(cat) Zone 內，卻沒被 dnssec-signzone 指定，表示為 Publish 或是 Inactivate Key
簽署後會產生新檔案 domain_zone_file.signed

指定 RRSIG 有效時間 
語法：dnssec-signzone -s (RRSIG 起始時間) -e (RRSIG 有效時間)
時間格式：YYYYMMDDHHMMSS
+offset ( from 起始時間 )
“now”+offset ( from now )
預設時間為 now + 30 天

修改/etc/named.conf
將domain對應的zone file 改成簽署過的檔案 domain_zone_file.signed
ex:
zone “domain name” {
    type master;
    file “domain_zone_file.signed”;
};

啟動 named
/etc/init.d/named restart                                     

檢查log
查看 /var/log/message

驗證
dig +dnssec @localhost domain_name ns                    
dig +dnssec @localhost domain_name mx                  
dig +dnssec @localhost domain_name a                      

ps.斜線部分請自行更改為需要的文字