unboundにDNSSECを導入

まず注意事項。root anchorの設定を間違えて誤ったroot anchorを導入すると意味がないのでこの記事は信用しないで自分で考えてやりましょう。

では具体的には参考文献そのままだけなんだがその手順を書いてみ る。

Olaf KolkmanによるDNSSECのルート鍵の宣言をダウンロードする。

さてこの文書はGPGで署名されている。その署名を確認しろということなんだが…。当然GPGの鍵を持ってないので公開鍵サーバーから入手することになる。

$ gpg --recv-keys 76092287
$ gpg --verify DS-20100616.txt 

となるわけなんだが…。当然信頼の輪に入ってないこの鍵をどう評価するというところなんだがね…。

思い切ってこの署名を信用して、このファイルに書いてある内容(. IN DS 19036 8 2 ....)を /etc/unbound/root.key に書き込む。ここでその内容を書いたりするとコピペするとか勘違いした行動を招くので書きません。 unbound.confに次の内容を追加。

auto-trust-anchor-file: "/etc/unbound/root.key"

unboundを再起動してdigで確認する。

$ dig @localhost +dnssec ns01.jprs.jp  

; <<>> DiG 9.7.2-P3 <<>> @localhost +dnssec ns01.jprs.jp
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57450
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 9

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;ns01.jprs.jp.			IN	A

;; ANSWER SECTION:
ns01.jprs.jp.		85099	IN	A	202.11.17.107
ns01.jprs.jp.		85099	IN	RRSIG	A 8 3 86400 20110217052019 20110118052019 32889 jprs.jp. dMULpW3EtGQSH46hJ4yngDKWlgDol6XazcvTJ2xK3VXm8v5/TCikWQVo 3GURO28raW8qYYG8j/Sb52+GITVxOlDlflxHRMvzq89Og4Ps5xL8BB5Z UOIiKLQhCcog1vV3FLWJXo5WNTpDg1B+pxa/dyQnZlxWvKQbGZ2Hhk7I 69E=

;; AUTHORITY SECTION:
jprs.jp.		85099	IN	NS	ns02.jprs.jp.
jprs.jp.		85099	IN	NS	ns03.jprs.jp.
jprs.jp.		85099	IN	NS	ns01.jprs.jp.
jprs.jp.		85099	IN	RRSIG	NS 8 2 86400 20110217052019 20110118052019 32889 jprs.jp. nTfPWqGY1UXqqZf0nCxiVXJmlRNrceSpF4k9uOODgOwCg+aijkpfqQMC rfR+MQl7lkKs/g3P1KxfHsvPaVBM2anm5O8u9KfSinvk9ZyVL5NQrka7 C1OYGSuuWqyY3Kw03/xlDB10NCHtgO1D9Xgs/1KS+AmQtn+cuXE+jLW6 cLc=

;; ADDITIONAL SECTION:
ns01.jprs.jp.		85099	IN	AAAA	2001:df0:8:6::10
ns02.jprs.jp.		85099	IN	A	202.11.16.227
ns02.jprs.jp.		85099	IN	AAAA	2001:df0:8:20::10
ns03.jprs.jp.		85099	IN	A	61.200.83.204
ns01.jprs.jp.		85099	IN	RRSIG	AAAA 8 3 86400 20110217052019 20110118052019 32889 jprs.jp. DrRI1A2COP8ez1q0CFCw5AF4g+y2WXGv3tqlvLEw1aX/9KhBPUMUTOTQ F/+4rDoNNdaXYLe2zPaNbCohX8H061FljrhSCkax5BQlv9QJD2Uwoum0 iqencziH/nFjFsyhv6DIyK6H/+kV7k3y7jFz0JJI0+1wVaA77SqvER1B 6Bo=
ns02.jprs.jp.		85099	IN	RRSIG	A 8 3 86400 20110217052019 20110118052019 32889 jprs.jp. K8uRzX9AVt/ylK51CTKoSY1CoXkXe9BPT3MD0LitUZQ+hVfRa6ENf96n sPBl7pFTkKxYHesAnCp2u1sOm2zp5PjoqY8fktYuj01VRN75l/gNsSxK vTrmhLN8iKWcXhqNJae7CA/JuO85kgvLeh3x/bdyNkmI2b8rgfRinFXn e4M=
ns02.jprs.jp.		85099	IN	RRSIG	AAAA 8 3 86400 20110217052019 20110118052019 32889 jprs.jp. DqRdUUwWJTtk6/HL3zRJvh5M7G95KJUbZdSBqyxCth1I+n/OelG9qRz8 AzuQiXNXcUpHs+2Z3WCPVUsLPdgk959KzhWFXW36QSYGnjjAqlYHgdSo znMXGXqBN7a0OcWOVZBSoJXPWN+hJ07bo+y9v/nWJC0HjAMY6n3oE/i7 fvM=
ns03.jprs.jp.		85099	IN	RRSIG	A 8 3 86400 20110217052019 20110118052019 32889 jprs.jp. ncw1ZdBUtzAoF42GkKexomrcYpZne8xMSgRM1dKs0E6G5YAKnGlzX/E2 dXWxPXlYHGggSGjyTZpjQMYhQugNqJHg4eZI2zpmgcXjQPWYf8eXs/WY JDiL82lufXLOpkIbcdBw7jnYZP84GXgTttGFXxl6Bj/qae+gbFKAJRBE QXY=

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Jan 19 10:28:58 2011
;; MSG SIZE  rcvd: 1199

• DNSSECを有効にするには | 日本Unboundユーザ会