整個流程實在太複雜了,還是紀錄一下好了
總共分成兩個部分,首先要產生兩組key(KSK,ZSK),一把是永久有效,一把是一定時間會過期
dnssec-keygen -r /dev/urandom -3 -a RSASHA256 -b 1024 -n ZONE 網域名稱
dnssec-keygen -r /dev/urandom -f KSK -3 -a RSASHA256 -b 2048 -n ZONE 網域名稱
使用亂數種子,SHA256演算法產生兩把key
接著對該網域名稱的zone file進行簽署
dnssec-signzone -e now+秒數 -S -K keypath -3 23411313 -o 網域名稱 zonefile的絕對路徑
-S表示使用智慧型的簽署方式,只要給他key的路徑就會找到正確的key去進行簽署,-e是過期的時間
之後會產生一個網域名稱.sign的檔案與dsset-網域名稱的檔案
xxx.sign就是簽署後的zonefile,在/etc/named.conf中將他include進去即可,dsset-xxx則是要給上層的public key檔
讓上層DNS SERVER可以比對是否是正確的DNS結果
總共分成兩個部分,首先要產生兩組key(KSK,ZSK),一把是永久有效,一把是一定時間會過期
dnssec-keygen -r /dev/urandom -3 -a RSASHA256 -b 1024 -n ZONE 網域名稱
dnssec-keygen -r /dev/urandom -f KSK -3 -a RSASHA256 -b 2048 -n ZONE 網域名稱
使用亂數種子,SHA256演算法產生兩把key
接著對該網域名稱的zone file進行簽署
dnssec-signzone -e now+秒數 -S -K keypath -3 23411313 -o 網域名稱 zonefile的絕對路徑
-S表示使用智慧型的簽署方式,只要給他key的路徑就會找到正確的key去進行簽署,-e是過期的時間
之後會產生一個網域名稱.sign的檔案與dsset-網域名稱的檔案
xxx.sign就是簽署後的zonefile,在/etc/named.conf中將他include進去即可,dsset-xxx則是要給上層的public key檔
讓上層DNS SERVER可以比對是否是正確的DNS結果