DNSSEC - How to configure BIND cache server with DNSSEC

캐시 DNS서버의 DNSSEC 서명검증 기능 설정 절차

캐시 DNS서버에 DNSSEC 서명검증 기능 활성화 및 신뢰앵커 데이터 설정절차입니다. 이 설정을 통해 네임서버는 DNSSEC 서명검증을 수행하는 캐시 DNS서버로 동작합니다.
캐시 DNS서버의 named.conf 파일에 아래의 2가지 사항을 설정해 줍니다.

 

named.conf 파일에 DNSSEC 서명검증 기능을 활성화 설정합니다.

options {              dnssec-enable yes;              dnssec-validation yes; };

 

managed-keys 옵션에 설정되는 실제 신뢰앵커 데이터는 아래와 같이 dig을 사용하여 키 서명키(KSK)의 DNSKEY인 flag값이 257인 DNSKEY 리소스 레코드 값을 복사하여 설정합니다.

 

named.conf 파일에 DNSSEC 서명검증을 위한 신뢰앵커 데이터를 아래와 같이 추가 설정합니다.

managed-keys {        "." initial-key 257 3 8           "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ     bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh     /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA     JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp     oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3     LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO     Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc     LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=     ) ; KSK; alg = RSASHA256; key id = 19036" };

 

 

# dig @f.root-servers.net  .  dnskey +multi +norec

[root@lux01 keys]# dig @f.root-servers.net . dnskey +multi +norec ; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7 <<>> @f.root-servers.net . dnskey +multi +norec ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42009 ;; flags: qr aa; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;.   IN DNSKEY ;; ANSWER SECTION: .   172800 IN DNSKEY 257 3 8 (     AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ     bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh     /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA     JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp     oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3     LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO     Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc     LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=     ) ; KSK; alg = RSASHA256; key id = 19036 .   172800 IN DNSKEY 256 3 8 (     AwEAAYvxrQOOujKdZz+37P+oL4l7e35/0diH/mZITGjl     p4f81ZGQK42HNxSfkiSahinPR3t0YQhjC393NX4TorSi     TJy76TBWddNOkC/IaGqcb4erU+nQ75k2Lf0oIpA7qTCk     3UkzYBqhKDHHAr2UditE7uFLDcoX4nBLCoaH5FtfxhUq     yTlRu0RBXAEuKO+rORTFP0XgA5vlzVmXtwCkb9G8GknH     uO1jVAwu3syPRVHErIbaXs1+jahvWWL+Do4wd+lA+TL3     +pUk+zKTD2ncq7ZbJBZddo9T7PZjvntWJUzIHIMWZRFA     jpi+V7pgh0o1KYXZgDUbiA1s9oLAL1KLSdmoIYM=     ) ; ZSK; alg = RSASHA256; key id = 15768 .   172800 IN DNSKEY 257 3 8 (     AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTO     iW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN     7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5     LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8     efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7     pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLY     A4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws     9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=     ) ; KSK; alg = RSASHA256; key id = 20326 ;; Query time: 18 msec ;; SERVER: 192.5.5.241#53(192.5.5.241) ;; WHEN: Tue Sep 19 16:46:10 EDT 2017 ;; MSG SIZE  rcvd: 853 [root@lux01 keys]#