Hands-on: DNSSEC-ondertekening op BIND named
Gepubliceerd op 08-03-2018
Beheerders die zelf hun DNS -dienst onderhouden maken daarvoor meestal gebruik van BIND named, de meest gebruikte DNS-server buiten de wereld van de grote registrars. BIND named kan fungeren als (autoritatieve) name-server en/of (caching) resolver. In dit artikel behandelen we de ondertekening van een zone op een autoritatieve name-server. De configuratie van named als DNSSEC -validerende resolver lees je in een ander artikel.
De DNSSEC-functionaliteit van BIND is over de afgelopen jaren stapsgewijs ontwikkeld en inmiddels een volwassen onderdeel van deze DNS-server geworden. Dat betekent wel dat er aanzienlijke verschillen zijn tussen achtereenvolgende (minor) versies.
Waar mogelijk en relevant geven we in dit artikel steeds aan vanaf welke versie een bepaalde feature ondersteund wordt. Dat is met name van belang voor gebruikers van enterprise-platforms, omdat die uit stabiliteits- en veiligheidsoverwegingen in het algemeen niet de meest recente software-versies gebruiken. Daarnaast kan het heel goed zijn dat de BIND-software op een bestaande server inmiddels opgewaardeerd is via het package management systeem van het operating system, maar de gebruikte configuratie nog is gebaseerd op een oudere versie.