システム構築

サーバー構築のデージーネットTOP > システム構築 > DNSサーバ構築 > bindによるDNSSEC対応の権威DNSサーバ構築

構築事例:bindによるDNSSEC対応の権威DNSサーバ構築

Open Smart Design

権威DNSサーバをDNSSEC対応にしたいという問い合わせがあり、BINDを使って構築しました。BINDの設定だけではなく、上位のレジストラへの登録などの含めて、総合的に対応させていただきました。

お客様が悩まれていた課題
キャッシュポイズニング攻撃で顧客が被害に合わないか心配
権威DNSサーバをDNSSEC対応にしたいがやり方が分からない
+導入企業プロフィール

導入企業業種

IT企業(愛知県名古屋市)

ユーザー規模

50名

利用OS

CentOS 5

導入月

2012年1月

デージーネットが提案した「bindによるDNSSEC対応の権威DNSサーバ構築」

解決ポイント

鍵の生成やレジストラへの登録もデージーネットが担当

権威DNSサーバをDNSSEC対応にしたいということで問い合わせを頂きました。BINDで構築する案でご提案しました。

検証を行い、必要な作業を洗い出し

構築にあたっては、まず必要な作業を洗い出ししました。デージーネットでも、これが初めてのDNSSEC対応の機会でした。そのため、デージーネット内で検証環境を作成し、技術的な裏付けをとりました。最新のBINDを使ったため、インターネット上にある各種情報とは、使い方が違っていました。事前に検証を行うことで、リスクを洗い出し、作業内容を明確にすることができました。

鍵の生成から担当

最初に、ZSK(Zone Signing Key)鍵とKSK(Key Signing Key)鍵を生成しました。 ZSKの公開鍵とKSKの公開鍵をゾーンファイルに登録し、ZSK鍵でゾーンファイルを署名しました。

レジストラの選定と交渉もデージーネットが対応

上位のDNSにDSレコードを登録してもらう必要があります。しかし、お客様が普段使っていたレジストラは、残念ながらDNSSECに対応するサービスを行っていませんでした。そのため、対応可能なレジストラの選定からスタートしました。この時はレジストラ側も不慣れだったため、レジストラと連絡を取り合いながらの対応となりました。

設定後の動作確認

最後にBINDにDNSSECを有効にする設定を行いました。設定後の動作確認の方法も、手探りだったのでレジストラと連絡を取り合いながら行いました。

導入後の結果

事前に検証を行っていたことで、実際の導入はスムーズに行えました。ただ、鍵の管理やDNSの情報を更新した後の手順などが、以前よりも煩雑になりました。そのため、運用マニュアルなどを作りました。最終的には、お客様で作業ができるようにしました。

bindによるDNSSEC対応の権威DNSサーバ構築の関連ページ

DNSサーバ構築の事例一覧

デージーネットの構築サービスの流れ

デージーネットの構築サービス(Open Smart Design)では、OSSを安心して使っていただくために、独自の導入ステップを採用しています。詳しい情報は以下のリンクからご覧ください。


様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。


モデルプランをご希望の方

各種費用についてのお問い合わせ

コンサルティング費用、設計費用、構築費用、運用費用、保守費用など、各種費用についてのお見積もりは以下のフォームよりお気軽にお問合せ下さい。


unboundやPowerDNSを使用したDNSサーバのモデルプランをご希望の方

bindによるDNSSEC対応の権威DNSサーバ構築の先頭へ