HOME | linux | DNSSEC簽署

DNSSEC簽署

2014/04/25/11:16 , Post in linux , 評論(0) , 引用(0) , 閱讀(1122) , Via 本站原創
整個流程實在太複雜了,還是紀錄一下好了

總共分成兩個部分,首先要產生兩組key(KSK,ZSK),一把是永久有效,一把是一定時間會過期

dnssec-keygen -r /dev/urandom -3 -a RSASHA256 -b 1024 -n ZONE 網域名稱

dnssec-keygen -r /dev/urandom -f KSK -3 -a RSASHA256 -b 2048 -n ZONE 網域名稱

使用亂數種子,SHA256演算法產生兩把key

接著對該網域名稱的zone file進行簽署

dnssec-signzone  -e now+秒數 -S -K keypath -3 23411313 -o 網域名稱 zonefile的絕對路徑

-S表示使用智慧型的簽署方式,只要給他key的路徑就會找到正確的key去進行簽署,-e是過期的時間

之後會產生一個網域名稱.sign的檔案與dsset-網域名稱的檔案

xxx.sign就是簽署後的zonefile,在/etc/named.conf中將他include進去即可,dsset-xxx則是要給上層的public key檔

讓上層DNS SERVER可以比對是否是正確的DNS結果

發表評論

暱稱

網址

電郵

開啟HTML 開啟UBB 開啟表情 隱藏 記住我 [登入] [註冊]