實作DNSSEC區域簽署

1. 開啟 DNS管理員, 查看正向對應區域的 DNSSEC為未簽署狀態

w-studio.idv.tw

2. 首先查看網域內容, SOA主要伺服器輸入完整FQDN

3. 名稱伺服器輸入完整FQDN及IP

w-studio.idv.tw

4. 接著在網域位置按下滑鼠右鍵, 選擇 DNSSEC, 點擊簽署區域

5. 開始進行區域簽署精靈設定DNSSEC

6. 首先使用預設值設定簽署區域

7. 確認簽署區域

w-studio.idv.tw

8. 完成簽署區域

9. 按下重新整理鈕, 此時多出了不少加密過的資源記錄, 網域圖示上多了一個鎖

10. 正向對應區域中, 網域也顯示已簽署 DNSSEC

11. 進入 C:\Windows\System32\dns 目錄中, 查看加密的記錄

12. 查看 DNSKEY w-studio.idv.tw

13. 移除區域簽署

14. 移除區域簽署非常容易, 按一下就完成了

15. 完成移除區域簽署w-studio.idv.tw

16. 按下重新整理鈕, 資源記錄又恢復成原來未加密的記錄

17. 繼續重新設定 DNSSEC區域簽署

18. 這次選擇自訂區域簽署參數

19. 金鑰主機預設為本機DNS

20. 設定金鑰簽署金鑰KSK

21. 金鑰簽署金鑰KSK預設如下, 按下編輯可另做設定

22. 編輯金鑰簽署金鑰KSK w-studio.idv.tw

23. 設定區域簽署金鑰ZSK

24. 區域簽署金鑰ZSK預設如下, 按下編輯可另做設定

25. 編輯區域簽署金鑰ZSK

26. 使用NSEC資源記錄

27. 設定信賴起點w-studio.idv.tw

28. DS, DNSKEY及輪詢設定

29. 確認簽署區域設定

30. 完成簽署區域設定

31. 按下重新整理鈕, 同樣多出了不少加密過的資源記錄

32. 重新移除簽署區域後再來設定NSEC3

33. 勾選啟用散發此區域的信賴起點w-studio.idv.tw

34. 按下重新整理鈕, 同樣多出了不少加密過的資源記錄

35. 剛剛勾選啟用散發此區域的信賴起點, 所以信任點這邊出現了資料

36. 從網域上按下滑鼠右鍵, 選擇DNSSEC內容查看, 可於此再做修改

37. 查看KSK

38. 查看ZSK w-studio.idv.tw

39. 查看NSEC

40. 查看信賴起點

41. 進階設定