Asenna linux-serveriisi bind9. Lisää rivi /etc/bind/named.conf tiedoston { options } –osioon:
dnssec-enable yes;
luo hakemisto /etc/bind/dnssec/ ja sen alle hakemisto kullekin allekirjoitettavalle domainille
esimerkiksi /etc/bind/dnssec/73.fi/
Siirry tekemääsi hakemistoon ja anna komennot:
dnssec-keygen -a RSASHA256 -b 2048 -r /dev/urandom -n ZONE 73.fi
dnssec-keygen -f KSK -a RSASHA256 -b 2048 -r /dev/urandom -n ZONE 73.fi
vaihda kuitenkin komennoista domainin nimi oikeaksi.
Listaa luotujen julkisten avaimien nimet
ls /etc/named/dnssec/73.fi/*.key
ja lisää ne zone-tiedoston /etc/named/pri/73.zone loppuun
$include /etc/named/dnssec/73.fi/K73.fi.+005+12345.key
$include /etc/named/dnssec/73.fi/K73.fi.+005+23456.key
Tämän jälkeen voit allekirjoittaa zonen.
dnssec-signzone -r /dev/urandom -K /etc/named/dnssec/73.fi -N unixtime -g -o 73.fi /etc/named/pri/73.zone
Vaihda /etc/bind/named.conf tiedostossa zone-tiedostoksi:
file "pri/73.zone.signed";
Käynnistä bind uudelleen ja huolehdi että slave-DNS:t saavat uuden allekirjoitetun määrittelytiedoston.
Kirjaudu domain.fi palveluun ja päivitä domainiin DNSSEC-tiedot.
Klikkaa [Hae], valitse tietue ja [Hyväksy]
Zone täytyy oletusasetuksilla allekirjoittaa uudelleen 30 päivän sisällä, joten allekirjoitus on hyvä laittaa crontabiin. Zonen muokkauksen jälkeen luonnollisesti tarvitaan myös allekirjoitus.
RootBear@IRCnet