DNSSEC

Sun 15 December 2013

In tech.

Exemple pratique

On génère une clef:

ldns-keygen -a RSASHA1_NSEC3 -b 1024 fdudu.net.

On signe la zone:

ldns-signzone -b fdudu.net.zone Kfdudu.net.+007+23208

Un fichier fdudu.net.zone.signed est généré, on l'utilise pour nsd:

zone:
    name: "fdudu.net"
    zonefile: "fdudu.net.zone.signed"

Pour vérifier:

En ligne de commande, il faut commencer par installer les clefs des serveurs racine avec "dnssec-anchors" (les clefs sont dans /etc/trusted-key.key)

  • drill -TD -k /etc/trusted-key.key A fdudu.net
  • dig @::1 AAAA b.domain.com +trusted-key=key +dnssec +sigchase +topdown