20.8 DNSセキュリティ

DNSSEC、すなわちDNSセキュリティは、RFC2535に記述されています。DNSSECに利用できるツールについては、BINDのマニュアルを参照してください。

ゾーンが安全だといえるためには、1つ以上のゾーンキーが関連付けられている必要があります。キーはホストキーと同様、dnssec-keygenによって生成されます。現在、これらのキーの生成には、DSA暗号化アルゴリズムが使用されています。生成されたパブリックキーは、$INCLUDEルールによって、対応するゾーンファイルにインクルードします。

生成したすべてのキーは、dnssec-makekeysetコマンドによって1つのセットにパッケージングし、安全な方法で親ゾーンに転送する必要があります。親ゾーンでは、dnssec-signkeyによってセットに署名が付されます。このコマンドによって複数のファイルが生成され、これらのファイルを使用してdnssec-signzoneが実行され、ゾーンに署名が付されます。 このときにファイルが生成されて、各ゾーンの/etc/named.confにインクルードされます。