配置权威服务器

　　生成签名密钥对

　　首先为你的区(zone)文件生成密钥签名密钥KSK：

　　# cd /var/named
　　# dnssec-keygen -f KSK -a RSASHA1 -b 512 -n ZONE test.
　　net.
　　Ktest.edu.+005+15480

　　然后生成区签名密钥ZSK：

　　# dnssec-keygen -a RSASHA1 -b 512 -n ZONE test.net.
　　Ktest.edu.+005+03674

　　其中的-a 参数是签名算法，-b是密钥长度。上述命令共产生两对DNSKEY密钥(共四个文件)，分别以.key和.private结尾，表明这个文件存储的是公开密钥或私有密钥。

　　签名

　　签名之前，你需要把上面的两个DNSKEY写入到区文件中

　　#cat "$INCLUDE Ktest.net.+005+15480.key" >> db.test.net
　　# cat "$INCLUDE Ktest.net.+005+03674.key" >> db.test.net

　　然后执行签名操作：

　　# dnssec-signzone -o test.net. db.test.net
　　db.test.net.signed

　　上面的-o选项指定代签名区的名字。生成的db.test.net.signed

　　然后修改/etc/named.conf如下：

　　options {
　　directory "/var/named";
　　dnssec-enable yes;
　　};
　　zone "test.net" {
　　type master;
　　file "db.test.net.signed";
　　};

　　记住，你每次修改区中的数据时，都要重新签名：

　　# dnssec-signzone -o test.net -f db.test.net.signed.new db.
　　test.net.signed
　　# mv db.test.net.signed db.test.net.signed.bak
　　# mv db.test.net.signed.new db.test.net.signed
　　# rndc reload test.net

　　发布公钥

　　要让其他人验证你的数字签名，其他人必须有一个可靠的途径获得你的公开密钥。DNSSEC通过上一级域名服务器数字签名的方式签发你的公钥。

　　用dnssec-signzone 时，会自动生成keyset-文件和dsset-开头的两个文件，分别存储着KSK的DNSKEY记录和DS记录。作为test.net 区的管理员，你需要把这两个文件发送给.net的管理员，.net的管理员需要把这两条记录增加到.net区中，并且用.net 的密钥重新签名。

　　test.net. 86400 IN NS ns.test.net.
　　86400 DS 15480 5 1 (
　　F340F3A05DB4D081B6D3D749F300636DCE3D
　　6C17 )
　　86400 RRSIG DS 5 2 86400 20060219234934 (
　　20060120234934 23912 net.
　　Nw4xLOhtFoP0cE6ECIC8GgpJKtGWstzk0uH6
　　………
　　YWInWvWx12IiPKfkVU3F0EbosBA= )

　　如果你的上一级域名服务器还没有配置DNSSEC，你不得不另找其他方式了，比如，把上述两个文件提交到一些公开的trust anchor数据库中发布(如上面介绍过的secspider)，或者直接交给愿意相信你的解析服务器的管理员，配置到他们的trust anchor文件中。