2010-08-12 Thu

[別の年の同じ日: 2003 2005 2006 2007 2008 2009

Unbound の dnssec 対応 はてぶ

時期をはずしてしまってるけど,Unbound の dnssec 対応をしてみた.

- Unbound: Howto enable DNSSEC
  http://www.unbound.net/documentation/howto_anchor.html
に書かれてる通りにやっただけ.

# cd /etc/unbound
# echo ". IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5" > root.key
# chown unbound:unbound root.key


root.key は Unbound が更新できるように読み書きができるようにしておく.

/etc/unbound/unbound.conf で root.key を読むように server セクションに設定.

# root key file, automatically updated
auto-trust-anchor-file: "/etc/unbound/root.key"


確認は以下のような感じで,AD (Authenticated Data) フラグがあればいいらしい.

$ dig +dnssec iis.se. @localhost | grep flags
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1
; EDNS: version: 0, flags: do; udp: 4096


ここ(ftnk.jp)は設定してないので,AD フラグがない.

$ dig +dnssec ftnk.jp @localhost | grep flags
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
; EDNS: version: 0, flags: do; udp: 4096


- Unbound: Howto enable DNSSEC
  http://www.unbound.net/documentation/howto_anchor.html

- FreeNAS に Unbound をインストール [2010-05-11-1]
- unbound を使ってみる [2008-12-15-1]