Используя данные действия для защиты корневой области, предположим, что другие серверы сети не применяют BIND 9, и необходимо защитить данные области, предоставив другим серверам возможность проверить
данные этой области.
Необходимо указать что данная область (в нашем случае -
aus.century.com) является защищенной корневой областью, и
удостоверяет подлинность данных входящих в нее защищенных областей.
- Создайте ключи с помощью команды dnssec-keygen:
dnssec-keygen -a RSA -b 512 -r /usr/sbin/named -n ZONE aus.century.com.
Прим.: Если установлен компонент OpenSSL, то в качестве алгоритма шифрования
для создания ключей может применяться RSA, хотя для этого сначала необходимо
связать библиотеку DNS с защищенной библиотекой DNS с помощью следующей
команды:
ln -fs /usr/lib/libdns_secure.a /usr/lib/libdns.a
- ZONE: ZONE - ключевое слово DNSSEC для создания ключей области,
предназначенных для шифрования с помощью пары личного и общего ключей.
- Флаг
r указывает случайное устройство.
- Добавьте запись общего ключа, как в файле named.conf.
Добавленная в этом примере запись указана ниже. Ниже приведено содержимое файла
ключей Kaus.century.com.+001+03254.key.
abc.aus.century.com. IN KEY 256 3 1
AQOnfGEAg0xpzSdNRe7KePq3Dl4NqQiq7HkwKl6TygUfaw6vz6ldmauB4UQFcGKOyL68/
Zv5ZnEvyB1fMTAaDLYz
Общий ключ из файла
Kzonename.+algor.+fingerprint.key
, или, в данном примере, -
Kaus.century.com.+001+03254.key. Необходимо удалить класс IN и указать KEY, а также указать тело ключа. После
добавления этой запись в файл
/etc/named.conf и
обновления сервера имен область
aus.century.com станет защищенной
корневой областью.
trusted-keys {
aus.century.com. 256 3 1 "AQOnfGEAg0xpzSdNRe7KePq3Dl4NqQiq7HkwKl6Tyg
Ufaw6vz6ldmauB 4UQFcGKOyL68/Zv5ZnEvyB1fMTAaDLYz";
};
options {
directory "/usr/local/domain";
};
zone "abc.aus.century.com" in {
type master;
file "named.abc.data.signed";
allow-update{192.9.201.1;};
};