参考
https://www.nic.ad.jp/ja/dns/dnssec/dnssec-startup-guide.html
centos8で
/home/dnssec
というフォルダを作り、そこへ移動
ZSK (Zone Signing Key) の生成
# dnssec-keygen -a RSASHA256 -b 1024 -n ZONE monqy.net
Generating key pair............................+++++ ............................+++++
Kmonqy.net.+008+47608
KSK (Key Signing Key) の生成
# dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -f KSK monqy.net
Generating key pair..........................................................+++++ ...........+++++
Kmonqy.net.+008+36227
zoneファイルのあるフォルダへ移動
# cd /var/named
zoneファイルに署名
# dnssec-signzone -S -K /home/dnnssec/ monqy.net.zone
Fetching ZSK 31795/RSASHA256 from key repository.
Fetching KSK 3160/RSASHA256 from key repository.
Verifying the zone using the following algorithms: RSASHA256.
Zone fully signed:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
ZSKs: 1 active, 0 stand-by, 0 revoked
monqy.net.zone.signed
zoneファイルの後ろに ".signed"がついたファイル "monqy.net.signed" ができる。
前回のエントリではゾーンファイル名に.zoneを付けていたが、 今回はドメイン名をそのままゾーンファイル名にした。 (なんか.zoneがついてるとうまくいかなかった気がしたが気のせいかもしれない)
これはテキストファイルで中身を見ることができるが、 RRSIG, NSEC, DNSKEYなどが追加されているのがわかる。
そして /etc/named.conf のゾーンファイル名を、 署名付きのものに変更して、namedを再起動する。
zone "monqy.net" {
type master;
file "monqy.net.signed";
};
で、dig
# dig @localhost monqy.net DNSKEY +dnssec +multi
とやると、なにやらずらずらと引ける。
この後、DSレコードを上位サーバに登録する必要があるらしい。
参考にしたサイトだと「DSレコードをJPNICに登録します」とあるが、 これは例がJPNICの管理しているIPアドレスの逆引きゾーンだからで、 私がやっている .net のドメインだとどこになるのか?
後で調べます。