時期をはずしてしまってるけど,Unbound の dnssec 対応をしてみた.
- Unbound: Howto enable DNSSEC
http://www.unbound.net/documentation/howto_anchor.html
に書かれてる通りにやっただけ.
# cd /etc/unbound # echo ". IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5" > root.key # chown unbound:unbound root.key
root.key は Unbound が更新できるように読み書きができるようにしておく.
/etc/unbound/unbound.conf で root.key を読むように server セクションに設定.
# root key file, automatically updated auto-trust-anchor-file: "/etc/unbound/root.key"
確認は以下のような感じで,AD (Authenticated Data) フラグがあればいいらしい.
$ dig +dnssec iis.se. @localhost | grep flags ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1 ; EDNS: version: 0, flags: do; udp: 4096
ここ(ftnk.jp)は設定してないので,AD フラグがない.
$ dig +dnssec ftnk.jp @localhost | grep flags ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1 ; EDNS: version: 0, flags: do; udp: 4096
- Unbound: Howto enable DNSSEC
http://www.unbound.net/documentation/howto_anchor.html
- FreeNAS に Unbound をインストール [2010-05-11-1]
- unbound を使ってみる [2008-12-15-1]