Registr ITAR je dočasné úložiště DNSSEC klíčů pro TLD domény. Jeho použití není online jako u DLV, tudíž je nutné pravidelně aktualizovat seznam klíčů publikovaných v Registru ITAR a používaných v lokálním validujícím resolveru.

Prvním krokem použití Registru ITAR je získání souboru v Master File Format (pro DNS server Unbound) nebo XML verzi (pro server Bind 9) na stránkách Registru ITAR do souboru anchors.mf(anchors.xml). Stažený soubor je podepsaný GPG klíčem a pro podpis je používán PGP klíč s ID 81D464F4. Odkaz na tento klíč je na hlavní stránce Registru ITAR.

Nejprve musíme naimportovat klíč do lokální databáze PGP/GPG:

gpg --no-default-keyring --keyring ./itar.gpg --import << EOF
[...zkopírovaný klíč vložíme na standardní vstup...]
EOF

Další krok, který je stejný pro všechny DNS server je ověření pravosti souboru pomocí souboru s odděleným PGP podpisem, který rovněž najdeme na stránkách Registru ITAR pod jménem 'PGP signature'.

gpg --no-default-keyring --keyring ./itar.gpg --verify anchors.mf.sig anchors.mf

nebo

gpg --no-default-keyring --keyring ./itar.gpg --verify anchors.xml.sig anchors.xml

Výstup by měl vypadat přibližně takto:

gpg: Signature made Tue Apr 14 21:45:04 2009 CEST using DSA key ID 81D464F4
gpg: Good signature from "IANA Trust Anchor Repository <itar@iana.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 1642 571A 578F 0DF2 6F82  785F F47D FB30 81D4 64F4

Variantně můžete všechny souboru poskytované Registrem ITAR stáhnout pomocí protokolu rsync:

rsync -rvP rsync://rsync.iana.org/itar/ /etc/itar/

Ověření PGP/GPG podpisů provedete stejně.

Další postup se pak liší dle použitého DNS serveru:

UNBOUND

DNS server unbound má přímo podporu pro formát souboru s DS záznamy. Použití je tedy velmi jednoduché. V sekci server odkomentujeme konfigurační volbu '''trust-anchor-file:''' a jako parametr zvolíme plnou cestu k souboru anchors.mf, tedy například:

trust-anchor-file: /etc/unbound/anchors.mf

Po aktualizaci konfiguračního souboru je zapotřebí znovu načíst konfiguraci nebo restartovat DNS server Unbound.

BIND

Situace s DNS serverem Bind je poněkud složitější, protože tento DNS server přímo nepodporuje použití DS záznamů. Proto je zapotřebí použít skript anchors2key, který naleznete na stránkách Registru ITAR s instrukcemi k použití.

Pro použití tohoto skriptu je zapotřebí nainstalovat knihovnu DNS Python, kterou buď můžete nainstalovat ze zdrojových kódů, nebo z balíčku vaší distribuce. (Pozor: V Debianu a odvozených distribucí se balík jmenuje python-dnspython.)

Skript anchors2keys očekává na standardním vstupu soubor anchors.xml a na standardní výstup vypíše soubor ve formátu trusted-keys pro DNS server Bind 9.

anchors2keys --skip-nsec3 < anchors.xml > trusted-keys.conf

Pokud používáte Bind ve verzi 9.6 nebo vyšší, vynechte přepínač --skip-nsec3 pro použití NSEC3 klíčů, které jsou od této verze podporovány.

Nově vygenerovaný soubor trusted-keys.conf následně pomocí direktivy `include' použijeme v hlavní konfiguraci named.conf:

include "/etc/bind/trusted-keys.conf";

Po aktualizaci konfiguračního souboru je zapotřebí znovu načíst konfiguraci nebo restartovat DNS server Bind 9.