.org的域名均已支持DNSSEC,本文部分内容借鉴网络,配置环境为Debian 5。
一:
安装好bind9之后:
编辑:/etc/bind/named.conf
在最后添加:
recursion no;
以关掉递归查询
添加好zone文件,见:/blog/201102051332.html
zone "zh-hant.org" {
type master;
file "db.zh-hant.org";
allow-transfer {从服务器IP地址; };
notify yes;
also-notify {从服务器IP地址; };
};
进入工作目录:
cd /etc/bind
运行:
named-checkzone zh-hant.org db.zh-hant.org
验查是否有语法错误
二:
运行命令一:
dnssec-keygen -r/dev/random -fKSK -aRSASHA1 -b2048 -nZONE zh-hant.org
片刻会在工作目录下生成类似:Kzh-hant.org.+005+30664.key
运行命令二:
dnssec-keygen -r/dev/random -aRSASHA1 -b1024 -nZONE zh-hant.org
片刻会在工作目录下生成类似:Kzh-hant.org.+005+61881.key
如果很长时间都没有生成,可将/dev/random换成/dev/urandom
编辑:db.zh-hant.org,在最后添加
$INCLUDE "Kzh-hant.org.+005+30664.key"
$INCLUDE "Kzh-hant.org.+005+61881.key"
然后对整个域进行签名,运行:
dnssec-signzone -r/dev/random -e+31104000
-ozh-hant.org -kKzh-hant.org.+005+30664
db.zh-hant.org Kzh-hant.org.+005+61881.key
运行后会生成:db.zh-hant.org.signed
然后编缉named.conf:
zone "zh-hant.org" {
type master;
file "db.zh-hant.org";
allow-transfer {从服务器IP地址; };
notify yes;
also-notify {从服务器IP地址; };
};
改为:
zone "zh-hant.org" {
type master;
file "db.zh-hant.org.signed";
allow-transfer {从服务器IP地址; };
notify yes;
also-notify {从服务器IP地址; };
};
检查语法是否错误:
named-checkzone zh-hant.org db.zh-hant.org.signed
成功后重载bind
/etc/init.d/bind9 reload
检查是否正常解析:
dig +dnssec @localhost db.zh-hant.org
查看工作目录中的:dsset-zh-hant.org.这个文件,提供给域名注册商,OK。
zh-hant.org. IN DS 30664 5 1 3E7095DD6827E29436C6A8284B4C1CCB7232277F
zh-hant.org. IN DS 30664 5 2 1CA6BFE64976238A315F4123B173D70CCE7B2AE6E7772C7AF4B92791 725BD70E
以godaddy为例,Manage DS Records >> Add new DS record
Key Tag 为:30664
Algorithm 为:5
Digest Type 为:1 - SHA-1
Max Signature Life (in seconds) 为:31104000
Digest 为:3E7095DD6827E29436C6A8284B4C1CCB7232277F
再添加:
Key Tag 为:30664
Algorithm 为:5
Digest Type 为:2 - SHA-256
Max Signature Life (in seconds) 为:31104000
Digest 为:1CA6BFE64976238A315F4123B173D70CCE7B2AE6E7772C7AF4B92791725BD70E
最后提交。
运行
whois zh-hant.org
查看是否显示:
DNSSEC:Signed
完成。
每次修改记录后,重新执行一次:
dnssec-signzone -r/dev/random -e+31104000
-ozh-hant.org -kKzh-hant.org.+005+30664
db.zh-hant.org Kzh-hant.org.+005+61881.key
0 条回复