20.8. DNS 安全性

DNSSEC 或 DNS 安全性細述於 RFC 2535。在 BIND 手冊中的 DNSSEC 可用工具會討論到。

視為安全的區域必須具有關聯的一或多個區域金鑰。這些金鑰是使用 dnssec-keygen 產生,如同主機金鑰一樣。目前是使用 DSA 加密演算法產生這些金鑰。產生的公用金鑰應該包含於套用 $INCLUDE 規則的對應區域檔案中。

藉由指令 dnssec-makekeyset,產生的所有金鑰會封裝為一組,然後必須透過安全的方法傳輸到父區域。在父區域上,會使用 dnssec-signkey 簽署該組金鑰。接著會使用透過此指令產生的檔案,以 dnssec-signzone 指令簽署區域,然後會為 /etc/named.conf 中每個區域產生要包含在內的檔案。