Dies ist eine alte Version des Dokuments!
Aktuelle root-keys herunterladen:
dig . DNSKEY | grep -Ev '^($|;)' > root.keys
Nameserver abfragen:
dig +sigchase +trusted-key=./root.keys www.isc.org A @127.0.0.1
dig org. SOA +dnssec
→ flags: ad
dig test.dnssec-or-not.net TXT @localhost
→ „Yes, you are using DNSSEC“
cd /var/lib/named
zone-signing key erzeugen: 1)
dnssec-keygen -a RSASHA256 -b 1024 -n ZONE example.com ls Kexample.com.* less Kexample.com.*.key
key-signing key erzeugen:
dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com ls Kexample.com.*
Öffentliche Schlüssen zu Zone hinzufügen:
cat Kexample.com.+008+*.key >> example.com
Signierte Zonendatei erzeugen: (30 Tage gültig)
dnssec-signzone -o example.com -k Kexample.com.+008+52216.private example.com Kexample.com.+008+12678.private less example.com.signed
Todo: