-
ajoutez l'option dnssec-enable yes; dans le
fichier named.conf.options ;
- il est conseillé de créer un répertoire de nom
<nom_de_zone>.dnssec pour y générer les clefs ;
- créez la clef asymétrique de signature de clefs de zone
(pour accélerer la génération sur un système de test vous pouvez
utiliser l'option -r /dev/urandom) ;
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -n ZONE <nom_de_zone>
- créez la clef asymétrique de la zone pour signer les
enregistrements (pour accélerer la génération sur un système
de test vous pouvez utiliser l'option -r /dev/urandom) ;
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE <nom_de_zone>
- renommez les deux paires de clefs obtenues en utilisant
le nom de la zone comme préfixe puis en suffixant d'abord par la
destination de la clef (-ksk pour la KSK ou -zsh pour
la ZSK) puis par le type de clef (.key pour la clef publique
ou .private pour la clef privée) ;
- incluez les clefs publiques dans votre fichier de
zone, incrémentez le numéro de version de la zone ;
$include /etc/bind/<nom_de_zone>.dnssec/<nom_de_zone>-ksk.key
$include /etc/bind/<nom_de_zone>.dnssec/<nom_de_zone>-zsk.key
- signez les enregistrements de la zone ;
dnssec-signzone -o <nom_de_zone> -k <nom_de_zone>-ksk ../<nom_de_zone> <nom_de_zone>-zsk
- modifiez le fichier named.conf.local pour utiliser
la zone signée de suffixe .signed ;
- il ne reste plus qu'à communiquer la partie publique de la KSK
(présente dans le fichier <nom_de_zone>-ksk.key) à votre registrar
(par exemple gandi.net, regardez à "Manage DNSSEC" dans la section
"DNS servers").