Création de la paire de clé:
- KSP:
sudo dnssec-keygen -f KSK -a RSASHA1 -b 1024 -n ZONE example.com - ZSK:
sudo dnssec-keygen -a RSASHA1 -b 1024 -n ZONE example.com
Rajouter dans le fichier de zone les fichiers générés:
> $include nom_du_fichier_KSK.key
> $include nom_du_fichier_ZSK.key
Signature de la zone:
sudo dnssec-signzone -k Kexample.com.+005+12345.key -o example.com -t db.example.com Kexample.com.+005+67890.key
Redémarrer le service bind:
sudo systemctl restart bind9
Ne pas oublier de mettre à jour ses enregistrements DNSSEC chez le registrar via les .key générés.
* bonus: pour accélérer le temps de génération de la clé (créer de l’entropie), installer le paquet rng-tools sudo aptitude install rng-tools et exécuter sudo rngd -r /dev/urandom