Создание ключа
Чтобы обеспечить возможность выполнять аутентификацию зонных пересылок (запросов и ответов), необходимо создать ключи для каждой пары name-серверов. Ключ также может использоваться для обеспечения безопасности других транзакций, таких как динамические обновления, запросы и ответы DNS. Битовая строка ключа, которая создается большинством утилит генерации ключа, используемых с DNSSEC, указывается в виде Base64. Программой, которая создает ключ в BIND 9.х, является dnssec-keygen. Приведем пример вызова этой программы для создания секретного ключа. Следует заметить, что программа может также создавать и другие типы ключей, например, открытый и закрытый ключи:
dnssec-keygen –a HMAC-MD5 –b 128 –n HOST ns1-ns2.example.ru
где параметры команды означают следующее:
-a: название алгоритма хэширования, который будет использоваться (HMAC-MD5).
-b: длина ключа (128 бит).
-n: тип ключа (HOST).
Последний параметр: имя ключа (ns1-ns2.example.ru).
Программа dnssec-keygen создает следующие файлы, содержащие строку ключа:
Kns1-ns2.example.ru.+157+34567.key Kns1-ns2.example.ru.+157.34567.private
Когда программа создает пару ключей (открытый и закрытый), файл с расширением key будет содержать строку открытого ключа, а файл с расширением private будет содержать закрытый ключ. Так как в нашем случае создается только секретный ключ, строки ключа в обоих файлах будут одинаковыми. Строка ключа из любого из этих файлов затем копируется в файл, называемый файлом ключа. Данный файл указывается в утверждении include внутри утверждения key.
