Настройка и управление DNSSEC
Настройка и управление DNSSEC осуществляется с помощью утилиты dnscmd.exe. Первым шагом является генерирование для защищаемой зоны сертификатов подписи, т.е. сертификатов ZSK и KSK.
Необходимые шаги перечислены ниже.
- На DNS-сервере щелкните правой кнопкой мыши на пункте Command Prompt (Командная строка) в меню Start (Пуск) и выберите в контекстном меню пункт Run As Administrator (Запуск от имени администратора).
- Введите команду cd \windows\system32\dns.
- Чтобы сгенерировать сертификат KSK, введите команду: dnscmd /OfflineSign /GenKey /Alg rsashal /Flags KSK /Length 1024 /Zone secure.company.com /SSCert /FriendlyName KSK-secure.company.com
- Чтобы сгенерировать сертификат ZSK, введите команду: dnscmd /OfflineSign /GenKey /Alg rsashal /Length 1024 /Zone secure.company.com /SSCert /FriendlyName ZSK-secure.company.com
Генерируемые ключи сохраняются на DNS-сервере в хранилище сертификатов Local Computer (Локальный компьютер) внутри каталога MS-DNSSEC. Срок действия сертификатов подписи по умолчанию составляет пять лет.
Следующим действием является подписание файла зоны и записей. Для этого потребуется взять существующий файл зоны (в рассматриваемом примере это secure.company.com.dns), подписать зону и записи и сохранить результат в другом файле зоны (в данном примере это signed. secure.company.com.dns). Для подписания нужно использовать ранее сгенерированные сертификаты. Ниже перечислены шаги, которые необходимо выполнить для подписания зоны.
- На DNS-сервере откройте консоль Server Manager (Диспетчер сервера).
- Разверните последовательно узлы Roles (Роли), DNS Server (DNS-сервер), DNS, DC1 и Forward Lookup Zones (Зоны обратного просмотра) и найдите узел с названием secure.companyabc.com.
- Щелкните на узле secure.companyabc.com правой кнопкой мыши и выберите в контекстном меню пункт Update Server Data File (Обновить файл данных сервера). Это гарантирует сохранение в файле самых последних обновлений.
- Откройте меню Start (Пуск), щелкните в нем правой кнопкой мыши на пункте Command Prompt (Командная строка) и выберите в контекстном меню пункт Run As Administrator (Запуск от имени администратора).
- В окне, которое появится после этого, введите команду cd \windows\system32\dns.
- Чтобы подписать файл зоны, введите команду
DnsCmd /OfflineSign /SignZone /input secure.company.com.dns /output signed.secure.company.com.dns /zone secure.company.com /signkey /cert /friendlyname KSK-secure.company.com /signkey /cert /friendlyname ZSK-secure.company.com
После выполнения этих шагов файл зоны будет подписан и готов загрузке на DNS-сервер.
Последним действием в процессе подписания зоны является повторная загрузка файла зоны на DNS-сервер.