ISC 在 BIND 9.9 之後提供了新的功能, 叫做 inline signing, 是讓使用者更方便的使用 DNSSEC , 使用者只要產生好了 key 之後, 固定放於某個目錄, 並在 named.conf 的設定當中設定, 就可以輕鬆的使用DNSSEC的功能.
首頁我們要先產生DNSSEC要使用的Key, 這裡以twnic.net.tw這個網域為例:
]# dnssec-keygen -z ZONE -r /dev/urandom -K /root/dnskey twnic.net.tw
(略) |
接下來只要在 named.conf 中指定 Key 的位置:
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
key-directory "/home/dnskey";
}; |
然後最重要的就是, inline signing這個設定是在zone裡面喔,並不是在options, 所以我們再編輯:
zone twnic.net.tw {
type master;
file "twnic.net.tw.db";
allow-transfer { none; };
auto-dnssec allow;
inline-signing yes;
}; |
最後重新啟動 named, 就可以看到BIND所帶來的新功能。
|