Межсетевое экранирование


   www.finagood.ru             

Создание ключа


Чтобы обеспечить возможность выполнять аутентификацию зонных пересылок (запросов и ответов), необходимо создать ключи для каждой пары name-серверов. Ключ также может использоваться для обеспечения безопасности других транзакций, таких как динамические обновления, запросы и ответы DNS. Битовая строка ключа, которая создается большинством утилит генерации ключа, используемых с DNSSEC, указывается в виде Base64. Программой, которая создает ключ в BIND 9.х, является dnssec-keygen. Приведем пример вызова этой программы для создания секретного ключа. Следует заметить, что программа может также создавать и другие типы ключей, например, открытый и закрытый ключи:

dnssec-keygen –a HMAC-MD5 –b 128 –n HOST ns1-ns2.example.ru

где параметры команды означают следующее:

-a: название алгоритма хэширования, который будет использоваться (HMAC-MD5).

-b: длина ключа (128 бит).

-n: тип ключа (HOST).

Последний параметр: имя ключа (ns1-ns2.example.ru).

Программа dnssec-keygen создает следующие файлы, содержащие строку ключа:

Kns1-ns2.example.ru.+157+34567.key Kns1-ns2.example.ru.+157.34567.private

Когда программа создает пару ключей (открытый и закрытый), файл с расширением key будет содержать строку открытого ключа, а файл с расширением private будет содержать закрытый ключ. Так как в нашем случае создается только секретный ключ, строки ключа в обоих файлах будут одинаковыми. Строка ключа из любого из этих файлов затем копируется в файл, называемый файлом ключа. Данный файл указывается в утверждении include внутри утверждения key.



Содержание  Назад  Вперед