PowerDNS 开启 DNSSEC

环境

  • PowerDNS:4.0.1
  • 后端:PosrgreSQL

Pdnsutil

PowerDNS 提供了 pdnsutil 这一工具来配置 DNSSEC。

生成

  • 自动生成:pdnsutil secure-zone a.com
  • a.com:需要 DNSSEC 的域名
  • 手动生成:pdnsutil add-zone-key a.com 384 ecdsa384
  • a.com:需要 DNSSEC 的域名
  • 384:表示位数,例如:384,256...
  • ecdsa384:表示算法。

列举 Keys

pdnsutil list-keys 域名

列出该域名所有的 Keys,如下,

激活 Key

pdnsutil activate-zone-key 域名 ID
  • ID:需要激活的 Key 的 ID,可以用pdnsutil list-keys查看

显示

pdnsutil show-zone 域名

能显示 DNSSEC 有关的信息,如下

删除 Key

  • 删除所有
pdnsutil disable-dnssec 域名

删除该域名所有 Keys

  • 删除指定
pdnsutil remove-zone-key 域名 ID

删除该域名的指定 ID 的 Key

#添加到域名注册商

先获得 DNSSEC 信息,如下

域名注册商以 NameSilo 为例,在后台找到这个页面 Aligorithm:DNSSEC 信息中红色框的数字,数字和算法的对应列表
Digest Type:DNSSEC 信息中蓝色框的数字,有多种,任选其一,建议选最高的
Digest:DNSSEC 信息中打马赛克的字符串,有多种,要和Digest Type保持一致
Key Tag:DNSSEC 信息中也可找到,应该可以随意输入,我没尝试过

#验证

要保证能使用 DNSSEC,前提是域名注册商、权威 DNS、递归 DNS,都支持且正确配置 DNSSEC。

完成上面这些步骤后,域名注册商、权威 DNS 以准备就绪。支持 DNSSEC 的递归 DNS 有这些

  • 8.8.8.8
  • 4.2.2.4

##使用 DIG 来验证

dig @8.8.8.8 +dnssec 域名

如图,如果返回值有RRSIG,则配置成功