DNSSEC auf einem autoritativen Nameserver

DNSSEC garantiert für signierte Zonen auf einem autoritativen Nameserver authentische DNS-Antworten, die der Client durch Vergleich des öffentlichen DNSKEYs mit der übertragenen Signatur verifizieren kann.

Um den Benutzern DNSSEC-authentizierte DNS-Antworten zu liefern, muss der autoritative Nameserver, der für die betreffende Zone zuständig ist, DNSSEC unterstützen, dafür konfiguriert sein und die Zone korrekt signiert sein.

Auf dieser Seite werden Anleitungen gegeben, wie dies für die gängigsten Nameserver eingerichtet wird, und wie man eine DNSSEC-signierte Zone erstellt. Die notwendigen Schritte dafür sind:

1. Konfiguration des Nameservers DNSSEC zu benutzen
2. Zone-signing key erzeugen
3. Key-signing key erzeugen
4. Zone signieren
5. DS Resource Record im Parent veröffentlichen
6. Zone veröffentlichen

NB: Ein DS-Record, der auf eine unsignierte oder nicht korrekt signierte Zone verweist, liefert bei validierenden Nameservern ein SERVFAIL als Antwort zurück, da die Zone als "bogus", also kompromittiert, gilt. Daher darf der DS-Record erst nach dem korrekten signieren eingetragen werden.

Für die folgenden Nameserver-Anwendungen geben wir Anleitungen:

• DNSSEC mit BIND 9.9
  
  

• DNSSEC mit Microsoft Windows Server 2012 (hier verweisen wir auf die Microsoft Dokumentation)
  
  

• Signing Proxy mit OpenDNSSEC
  
  

• Signing Proxy und Inline-Signing mit BIND