Jak zprovoznit DNSSEC

Vygenerování klíčů

Základním principem DNSSEC je použití asymetrické kryptografie pro podepisování jednotlivých záznamů o doménových jménech. Proto je nutné vygenerovat vždy pár klíčů - soukromý a veřejný. Soukromým klíčem budou podepsána data v zónách a veřejný klíč bude zveřejněn, tak aby jej ostatní mohli použít pro ověření podpisů.

Pro zvýšení bezpečnosti a zvýšení výkonu se navíc v DNSSEC používají dva druhy klíčů:

  • Klíč podepisující zóny (ZSK) - používá se k podpisu dat v zóně, je kratší a častěji se mění
  • Klíč podepisující klíče (KSK) - používá se k podpisu klíče podepisujícího zóny, je delší a není nutné jej tak často měnit

Problematika DNSSEC klíčů, jejich generování a návod jak to provést pomocí dostupných nástrojů je detailně rozebrána v kapitole Vytváření párů klíčů v DNSSEC HOWTO.

Pokud máte klíče vygenerované, můžete postoupit dále k podepsání zóny.

Pokračovat podepisováním zóny