Tämä on vanha versio dokumentista!
Ikidomain voi olla myös DNSSEC suojattu jos oma nimipalvelimella olevat tiedot on suojattu DNSSEC:illä.
Mikäli käytetään esim bind:ia niin tämän saa tehtyä niin että laittaa nimipalvelun zone kohtaan auto-dnssec maintain;
ja update-policy local;
rivit eli esim:
zone "kivinen.iki.fi" { type master; file "kivinen.iki.fi.signed"; auto-dnssec maintain; key-directory "/etc/namedb"; update-policy local; };
/etc/namedb hakemistoon pitää luoda avaimet dnssec-keygen
ohjelmalla:
$ dnssec-keygen -a ECDSAP256SHA256 -n zone kivinen.iki.fi $ dnssec-keygen -a ECDSAP256SHA256 -n zone -f KSK kivinen.iki.fi <code> Itse zone tiedostossa sitten sanotaan ''$INCLUDE K<avaintiedosto>.key'' sekä zone että KSK avaimille: <code> $ORIGIN . $TTL 3600 ; 1 hour kivinen.iki.fi IN SOA ns.kivinen.iki.fi. hostmaster.kivinen.iki.fi. ( 2024053100 ; serial 3600 ; refresh (1 hour) 300 ; retry (5 minutes) 3600000 ; expire (5 weeks 6 days 16 hours) 3600 ; minimum (1 hour) ) NS ns.iki.fi. NS ns.kivinen.iki.fi. NS ns2.kivinen.iki.fi. A 83.145.195.1 AAAA 2001:1bc8:100d::2 MX 1 mail.kivinen.iki.fi. $INCLUDE Kkivinen.iki.fi.+013+61140.key $INCLUDE Kkivinen.iki.fi.+013+61000.key
Tämän jälkeen allekirjoitetaan zone tiedosto komennolla:
dnssec-signzone -N INCREMENT -o kivinen.iki.fi kivinen.iki.fi
Tämä pitää tietysti tehdä joka kerta kun zone tiedostoa muutetaan.
Kun nimipalvelin on käynnstetty uudestaan niin sen jälkeen voi mennä iki:n jäsenrekisterin ja sanoa siellä että Hae DS tietueet
ja tämä komento hakee tiedot jäsenen nimipalvelimesta ja muuttaa ne sopivaan muotoon ja lisää ne iki:n jäsenrekisteriin. Tämän jälkeen tunnin kuluttua voi ruveta testamaan että mitä nuo erilaiset dnssec testauspalvelut (esim https://dnsviz.net/) sanovat zonesta.