PowerDNS 开启 DNSSEC
环境
- PowerDNS:4.0.1
- 后端:PosrgreSQL
Pdnsutil
PowerDNS 提供了 pdnsutil 这一工具来配置 DNSSEC。
生成
- 自动生成:
pdnsutil secure-zone a.com
- a.com:需要 DNSSEC 的域名
- 手动生成:
pdnsutil add-zone-key a.com 384 ecdsa384
- a.com:需要 DNSSEC 的域名
- 384:表示位数,例如:384,256...
- ecdsa384:表示算法。
列举 Keys
pdnsutil list-keys 域名
列出该域名所有的 Keys,如下,
激活 Key
pdnsutil activate-zone-key 域名 ID
- ID:需要激活的 Key 的 ID,可以用
pdnsutil list-keys
查看
显示
pdnsutil show-zone 域名
能显示 DNSSEC 有关的信息,如下
删除 Key
-
删除所有
pdnsutil disable-dnssec 域名
删除该域名所有 Keys
-
删除指定
pdnsutil remove-zone-key 域名 ID
删除该域名的指定 ID 的 Key
#添加到域名注册商
先获得 DNSSEC 信息,如下
域名注册商以 NameSilo 为例,在后台找到这个页面
Aligorithm
:DNSSEC 信息中红色框的数字,数字和算法的对应列表
Digest Type
:DNSSEC 信息中蓝色框的数字,有多种,任选其一,建议选最高的
Digest
:DNSSEC 信息中打马赛克的字符串,有多种,要和Digest Type
保持一致
Key Tag
:DNSSEC 信息中也可找到,应该可以随意输入,我没尝试过
#验证
要保证能使用 DNSSEC,前提是域名注册商、权威 DNS、递归 DNS,都支持且正确配置 DNSSEC。
完成上面这些步骤后,域名注册商、权威 DNS 以准备就绪。支持 DNSSEC 的递归 DNS 有这些
- 8.8.8.8
- 4.2.2.4
##使用 DIG 来验证
dig @8.8.8.8 +dnssec 域名
如图,如果返回值有RRSIG
,则配置成功