Пример подписывания зоны
Приведем пример, иллюстрирующий использование программы подписывания зоны (dnssec-signzone в BIND 9.3.x):
dnssec-signzone –o <name of zone> -k <name of file containing KSK> <location of zone file> <name of file containing ZSK>
Для подписывания данных из зоны example.ru с KSK, расположенным в файле Kexample.ru.+005+76425.key, и ZSK, созданным заранее, следует выполнить следующую команду:
dnssec-signzone –o example.ru -k Kexample.ru.+005+76425.key /var/named/zonedb.example.ru Kexample.ru.+005+28345.key
Процесс подписывания зонного файла состоит из следующих шагов:
-
создание хэша для каждого множества ресурсных записей (ресурсных записей с одним и тем же именем собственника, TTL, классом и RRType);
- создание подписи для каждого множества ресурсных записей (используя закрытый ключ ZSK-private);
-
размещение этой информации в новой ресурсной записи с типом RRSIG.
Ключ KSK подписывает только множество ресурсных записей DNSKEY, а ключ ZSK — все ресурсные записи в зонном файле. Участник, чей закрытый ключ используется для подписывания данных зоны, называется подписывающей стороной (signer или signing authority). В большинстве случаев подписывающая сторона является доменом, связанным с зоной. В ответ на DNS-запрос поддерживающий DNSSEC авторитетный name-сервер выдает соответствующие данные зоны вместе с цифровой подписью этих данных. Получатель проверяет цифровую подпись для полученных данных зоны, используя открытый ключ подписавшего (после установления доверия к открытому ключу).
