c# .net pdf viewer : Adding page to pdf in preview Library application component .net html azure mvc Ron%20Aitchison%20-%20Pro%20DNS%20and%20BIND%2010%20-%20201134-part1357

CHAPTER 11  DNSSEC 
340 
20101219013101 27228 example.com. 
1kjsIkAoSJ6mMnxKhxj7o+CYxJ4= ) 
ns2.example.com. 86400 IN A    192.168.23.23 
86400   RRSIG   A 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
7ahKR9HNA9mg2go+H+QLQVYQ18I= ) 
10800   NSEC    sub.example.com. A RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
aCRIk45rOr2aSVGe19kCZQc+fF0= ) 
mail.example.com. 86400 IN A   192.168.2.3 
86400   RRSIG   A 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
MTnI6ULQvwcFfVVif07zs5xBa8U= ) 
10800   NSEC    mail1.example.com. A RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
qtAtFhFysMH7JFvnKZEOeRec2T0= ) 
sub.example.com. 86400 IN NS   ns3.sub.example.com. 
86400 IN NS     ns4.sub.example.com. 
10800   NSEC    www.example.com. NS RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
NbjZ42hmv5kBMq8RKX0Zql4hUsc= ) 
ns3.sub.example.com. 86400 IN A 10.2.3.4 
ns4.sub.example.com. 86400 IN A 10.2.3.5 
www.example.com. 86400     IN A 10.1.2.1 
86400 IN A      172.16.2.1 
86400   RRSIG   A 8 3 86400 20110118013101 ( 
20101219013101 27228 example.com. 
FVejigwrKP0x+DGGsj6t9qetfmE= ) 
10800   NSEC    example.com. A RRSIG NSEC 
10800   RRSIG   NSEC 8 3 10800 20110118013101 ( 
20101219013101 27228 example.com. 
NFQ9D+/Tvo/Te6ha70Pvs2JGN3Y= ) 
In the interest of brevity and because it adds no value to the human reader, most of the base64 
material in the DNSKEY and RRSIG RRs has been removed. A full description of all the changes that take 
place in signed zones using an identical file is contained under the “Securing or Signing the Zone” 
section earlier in the chapter. 
The signed zone file is ready to become operational in ns1.example.com, the primary master for the 
zone, using a named.conf fragment such as defined here: 
// named.cong fragment for ns1.example.com 
logging{ 
channel normal_log { 
file "/var/log/named/normal.log" versions 3 size 2m; 
severity error; 
print-time yes; 
print-severity yes; 
print-category yes; 
}; 
channel dnssec_log { // streamed dnssec log 
file "/var/log/named/dnssec.log" versions 3 size 2m; 
Adding page to pdf in preview - insert pages into PDF file in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Guide C# Users to Insert (Empty) PDF Page or Pages from a Supported File Format
add page numbers to pdf document; add a page to a pdf in acrobat
Adding page to pdf in preview - VB.NET PDF Page Insert Library: insert pages into PDF file in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Easy to Use VB.NET APIs to Add a New Blank Page to PDF Document
add pdf pages together; adding page numbers to pdf in
CHAPTER 11 ■ DNSSEC 
341
severity debug 3; 
print-time yes; 
print-severity yes; 
print-category yes; 
}; 
category default{ 
normal_log; 
}; 
category dnssec{ 
dnssec_log; 
}; 
}; op-
tions { 
.... 
directory "/var/named"; 
dnssec-enable yes; // default - could be omitted 
allow-transfer {"none";}; 
.... 
}; 
... 
zone "example.com" in{ 
type master; 
file "master.example.com.signed"; 
allow-transfer {192.168.23.23;}; // ns2.example.com 
allow-update {"none";};
}; 
... 
The log has been streamed for dnssec events to assist in any test debugging. A sample log output is
shown later in the “DNSSEC Logging” section. The severity debug 3; statement should not be used for
production because it will generate huge amounts of log data; instead severity info; or higher should
be used. The zone file in the example.com zone clause references the signed file created by the zone
signing process earlier. No special treatment is required on the slave server (ns2.example.com) whose
named.conf would look like so: 
// named.conf fragment for ns2.example.com
logging{ 
channel normal_log { 
file "/var/log/named/normal.log" versions 3 size 2m; 
severity error; 
print-time yes; 
print-severity yes; 
print-category yes; 
}; 
channel dnssec_log { // streamed dnssec log 
file "/var/log/named/dnssec.log" versions 3 size 2m; 
severity debug 3; 
print-time yes; 
print-severity yes; 
print-category yes; 
}; 
category default{ 
normal_log; 
}; 
C# PDF insert image Library: insert images into PDF in C#.net, ASP
digital photo, scanned signature or logo into PDF document page in C# solve this technical problem, we provide this C#.NET PDF image adding control, XDoc
add pages to pdf in preview; add page numbers to pdf online
C# PDF insert text Library: insert text into PDF content in C#.net
Insert formatted text and plain text to PDF page using .NET XDoc.PDF component in C#.NET class. Supports adding text to PDF in preview without adobe reader
adding page numbers to a pdf file; add page to pdf without acrobat
CHAPTER 11  DNSSEC 
342 
category dnssec{ 
dnssec_log; 
}; 
}; 
options { 
.... 
directory "/var/named"; 
dnssec-enable yes; // default - could be omitted 
allow-transfer {"none";}; 
.... 
}; 
.... 
zone "example.com" in{ 
type slave; 
file "slave.example.com.signed"; 
masters {192.168.2.6;}; // ns1.example.com 
allow-update {"none";}; 
}; 
.... 
Verifying the Signed Zone 
To confirm the zone is working successfully, use a dig command to verify the results. If a normal dig 
command is issued, it will emulate the behavior of a security-oblivious name server; therefore no 
security information will be displayed. If the +dnssec option is added, it will respond with the security 
information as shown in the following example, which has been issued to ns1.example.com, an 
authoritative name server for the example.com zone: 
dig @192.168.2.6 www.example.com +dnssec +multiline 
; <<>> DiG 9.7.2-P2 <<>> www.example.com +dnssec +multiline 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38927 
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 5 
;; OPT PSEUDOSECTION: 
; EDNS: version: 0, flags: do; udp: 4096 
;; QUESTION SECTION: 
;www.example.com.       IN A 
;; ANSWER SECTION: 
www.example.com.        86400 IN A 172.16.2.1 
www.example.com.        86400 IN A 10.1.2.1 
www.example.com.        86400 IN RRSIG A 8 3 86400 20110118042253 ( 
20101219042253 27228 example.com. 
3G4VSCGK+YO91uKJoq7pvzBrbAfWa12KfH7B+60= ) 
;; AUTHORITY SECTION: 
example.com.            86400 IN NS ns2.example.com. 
example.com.            86400 IN NS ns1.example.com. 
example.com.            86400 IN RRSIG NS 8 2 86400 20110118042253 ( 
20101219042253 27228 example.com. 
NX7KK6p0N/OFRQMiE0UX+C8DvhQ2ULDjv9WkPnI= ) 
VB.NET PDF insert text library: insert text into PDF content in vb
Studio .NET PDF SDK library supports adding text content to Add text to certain position of PDF page in Visual Add text to PDF in preview without adobe reader
add document to pdf pages; add contents page to pdf
C# Create PDF Library SDK to convert PDF from other file formats
What's more, you can also protect created PDF file by adding digital signature (watermark) on PDF Create a new PDF Document with one Blank Page in C#
add page numbers pdf; add page number to pdf online
CHAPTER 11 ■ DNSSEC 
343
;; ADDITIONAL SECTION: 
ns1.example.com.        86400 IN A 192.168.2.6 
ns2.example.com.        86400 IN A 192.168.23.23 
ns1.example.com.        86400 IN RRSIG A 8 3 86400 20110118042253 ( 
20101219042253 27228 example.com. 
ns2.example.com.        86400 IN RRSIG A 8 3 86400 20110118042253 ( 
20101219042253 27228 example.com. 
KLxqPPouowqgBua5OgcjmHNAc/Vq7MzwPxqp/qU= ) 
;; Query time: 2 msec 
;; SERVER: 192.168.2.6#53(192.168.2.6) 
;; WHEN: Mon Dec 20 16:59:24 2010 
;; MSG SIZE  rcvd: 828 
Again, in the interest of brevity, most of the base64 material has been eliminated, since it is of no 
interest to the human reader. The following points should be noted: 
• The +multiline option simply adds parentheses to each long RR to create a 
slightly more readable output format. 
• The OPT PSEUDOSECTION shows that EDNS0 features are in use and that a UDP 
block size of 4096 bytes has been negotiated for use in the much bigger responses 
from DNSSEC transactions. The OPT meta (or pseudo) RR is actually placed in the 
ADDITIONAL SECTION, but dig chooses to display and format it separately (see 
Chapter 15). 
• The ANSWER SECTION includes the RRSIG to cover the A RRs returned with the query 
and can thus be used to authenticate the RRset. 
• The AUTHORITY SECTION also includes the RRSIG RR to cover the NS RRs returned 
and allow verification of this section as well. 
• The ADDITIONAL SECTION contains, as expected, the A RRs for the authoritative 
name servers and its covering RRSIG RR. 
• 
have to separately request them using a DNSKEY RR to the zone apex if they are 
not already in its cache. 
• The HEADER flags do not include the ad (Authenticated Data) flag (see Chapter 15) 
because this dig was issued to one of the authoritative name servers for the signed 
zone. The authoritative name server’s job is to supply the information, the various 
RRSIGs, by which a validating resolver can perform the authentication. If, 
however, the dig had been issued to a validating resolver that was not 
authoritative for the zone example.com, then that name server would have 
performed the authentication and, assuming it was successful, the ad flag would 
have been set. This process is illustrated later in the chapter. 
PNE with Signed Zones 
Proof of nonexistence (PNE) occurs when a signed zone receives a request for a name that does not exist. 
In this case, the authoritative server returns a query status of NXDOMAIN (name error) and in the 
C# Word - Insert Blank Word Page in C#.NET
This C# .NET Word document page inserting & adding component from RasterEdge is written in managed C# code and designed particularly for .NET class applications
add and remove pages from pdf file online; add page numbers to pdf document in preview
C# PowerPoint - Insert Blank PowerPoint Page in C#.NET
This C# .NET PowerPoint document page inserting & adding component from RasterEdge is written in managed C# code and designed particularly for .NET class
adding a page to a pdf in preview; add or remove pages from pdf
CHAPTER 11  DNSSEC 
344 
ADDITIONAL SECTION the SOA RR as normal (with its NSEC and RRSIG RRs) plus an NSEC RR (and its 
RRSIG RR) that spans the requested name as shown in this dig command and response: 
# dig +dnssec +multiline smtp.example.com 
; <<>> DiG 9.7.2-P2 <<>> +dnssec +multiline smtp.example.com 
;; global options: +cmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 40641 
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1 
;; OPT PSEUDOSECTION: 
; EDNS: version: 0, flags: do; udp: 4096 
;; QUESTION SECTION: 
;smtp.example.com.      IN A 
;; AUTHORITY SECTION: 
2010121500 ; serial 
43200      ; refresh (12 hours) 
600        ; retry (10 minutes) 
604800     ; expire (1 week) 
10800      ; minimum (3 hours) 
example.com.      10800 IN RRSIG SOA 8 2 86400 20110119230454 ( 
20101220230454 10476 example.com. 
…. 
dmZE26/MhBwTa1aEtTmJgk5DGCY42nm3L/JJsnc= ) 
example.com.      10800 IN NSEC _ldap._tcp.example.com. NS SOA MX RRSIG NSEC DNSKEY 
example.com.      10800 IN RRSIG NSEC 8 2 10800 20110119230454 ( 
20101220230454 10476 example.com. 
…. 
B9zZ+E9jlH3oqNdJihYij8Tk3W1+vJkie9qeUsk= ) 
ns2.example.com.  10800 IN NSEC sub.example.com. A RRSIG NSEC 
ns2.example.com.  10800 IN RRSIG NSEC 8 3 10800 20110119230454 ( 
20101220230454 10476 example.com. 
…. 
VNd/j+7ta+eBRVoVmZCq5LH51BxtNNn3f5YzOis= ) 
;; Query time: 2 msec 
;; SERVER: 192.168.2.21#53(192.168.2.21) 
;; WHEN: Sat Jan  8 01:15:57 2011 
;; MSG SIZE  rcvd: 695 
In the above case the ns2.example.com. NSEC sub.example.com. RR spans the name space where 
smtp.example.com lies and thus provides PNE. 
Establishing a Trusted Anchor 
The example assumes that a security-aware name server at ns1.example.net wishes to authenticate the 
data from example.com. This name server needs to establish a trusted anchor for the domain 
example.com. The administrator of ns1.example.net obtains by some secure process the DNSKEY RR for 
the KSK of the domain example.com. While the DNSKEY RR itself is not sensitive information (it contains 
a public key), the administrator must be able to authenticate the source of the key, and therefore a 
C# PowerPoint - How to Process PowerPoint
& Insert PowerPoint Page/Slide in C#. Use the provided easy to call and write APIs programmed in C# class to develop user-defined PowerPoint slide adding and
add remove pages from pdf; add and delete pages in pdf
C# TIFF: TIFF Editor SDK to Read & Manipulate TIFF File Using C#.
1. Support embedding, removing, adding and updating ICCProfile. 2. Render text to text, PDF, or Word file. You will see the following aspects on this guide page.
adding page numbers to a pdf document; add page number to pdf
CHAPTER 11 ■ DNSSEC 
345
secure distribution process such as secure e-mail or secure FTP must be used to obtain the trusted 
anchor. This DNSKEY RR is available from the signed example.com zone file shown earlier and is 
identified as having a flags field value of 257 (which includes the SEP or KSK bit): 
86400 DNSKEY 257 3 8 ( 
5Jq6Dp+JyHN03OHqgHv2KrRuvUOXV+8l 
) ; key id = 34957 
The reader should note that much of the base64 material has been eliminated in the interest of 
brevity and that a real DNSKEY RR would be considerably larger. The trusted anchor is created by 
editing this DNSKEY RR into a trusted-keys clause for the named.conf file at the server ns1.example.net, 
as shown in the following fragment: 
// named.conf fragment for ns1.example.net 
logging{ 
channel normal_log { 
file "/var/log/named/normal.log" versions 3 size 2m; 
severity error; 
print-time yes; 
print-severity yes; 
print-category yes; 
}; 
channel dnssec_log { // streamed dnssec log 
file "/var/log/named/dnssec.log" versions 3 size 2m; 
severity debug 3; 
print-time yes; 
print-severity yes; 
print-category yes; 
}; 
category default{ 
normal_log; 
}; 
category dnssec{ 
dnssec_log; 
}; 
}; 
options { 
.... 
directory "/var/named"; 
dnssec-enable yes; 
dnssec-validation yes; 
allow-recursion {10.2/16; 192.168.2/24;}; // recursion limits - closes resolver 
.... 
}; 
trusted-keys{ 
"example.com" 257 3 8 "5Jq6Dp+JyHN03OHqgHv2KrRuvUOXV+8l 
"; 
}; 
.... 
C# Word - Insert Image to Word Page in C#.NET
VB.NET How-to, VB.NET PDF, VB.NET Word, VB.NET Excel, VB.NET PowerPoint, VB.NET Tiff, VB.NET Imaging It's a demo code for adding image to word page using C#.
add pages to pdf preview; adding a page to a pdf in reader
CHAPTER 11  DNSSEC 
346 
 Caution The 
allow-recursion
statement is required to ensure this is not an open resolver. There are other 
statements that may also be used to perform this function. See a fuller discussion of this topic in the “Resolver 
(Caching Name Server)” section of Chapter 7. 
The trusted-keys clause contains the trusted anchor for example.com and is an edited version of the 
DNSKEY RR created by removing the TTL and DNSKEY, and adding the domain name in quotes (a 
quoted string that can be an FQDN, but will work quite happily without the trailing dot); the flags, 
proto, and algorithm fields are left intact, and the base64 public key material (key-data) is enclosed in 
quotes and terminated with a semicolon. For the full format and layout of the trusted anchor layout 
within the trusted-keys clause, see Chapter 12. The dnssec-enable yes; and dnssec-validation yes; 
statements are the BIND 9.5+ default values and can be omitted though it is good practice to include 
them as constant reminder of functionality. The log is again streamed and the severity debug 3; is used 
to generate information that may be useful during debugging (but should not be used in production 
unless the reader likes managing large logs). Instead, severity info; or a higher value should be used 
based on comfort and experience. 
 Note BIND currently uses a DNSKEY format for its trusted-keys clause. Other DNS software, notably 
Unbound
use a DS RR format for the same purpose. Indeed, there is some ongoing discussion to make the DS RR format the 
preferred option due to it shorter size. 
Using a Trusted Anchor 
The following shows a dig command issued to the recursive server ns1.example.net that is neither the 
zone master nor the zone slave for example.com, but has been configured to be security aware (using a 
dnssec-enable yes; statement) and has a trusted anchor for the zone example.com (in a trusted-keys 
clause): 
dig @ns1.example.net www.example.com +dnssec +multiline 
;; global options:  printcmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60711 
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 
;; OPT PSEUDOSECTION: 
; EDNS: version: 0, flags: do; udp: 4096 
;; QUESTION SECTION: 
;www.example.com.  IN  A 
;; ANSWER SECTION: 
www.example.com.  86061  IN  A  172.16.2.1 
www.example.com.  86061  IN  A  10.1.2.1 
www.example.com.       86400 IN RRSIG A 8 3 86400 20110118042253 ( 
20101219042253 27228 example.com. 
CHAPTER 11 ■ DNSSEC 
347
3G4VSCGK+YO91uKJoq7pvzBrbAfWa12KfH7B+60= ) 
;; Query time: 1 msec 
;; SERVER: 192.168.254.23#53(ns1.example.net) 
;; WHEN: Mon Dec 20 17:10:13 2010;; MSG SIZE  rcvd: 327 
Again, in the interest of brevity, most of the base64 material has been eliminated. In this case, the 
response is significantly shorter than that shown when the authoritative server was queried directly 
(shown in the preceding section, “Verifying Signed Zones”). The reason is simply that the name server 
192.168.254.23, because it is security aware, has verified the various signatures on your behalf, and 
confirmed this action by setting the ad (Authenticated Data) flag in the HEADER. Therefore only the query 
results are supplied to the dig command. The next section shows the security log at the name server to 
confirm that it has indeed performed this validation. 
DNSSEC Logging 
The following shows typical log output using the streamed security logging configured as shown in the 
named.conf fragment example; this is the resulting output from the preceding dig command: 
dnssec: validating www.example.com A: starting 
dnssec: validating www.example.com A: attempting positive response validation 
dnssec: validating example.com DNSKEY: starting 
dnssec: validating example.com DNSKEY: verify rdataset: success 
dnssec: validating example.com DNSKEY: signed by trusted key; marking as secure 
dnssec: validator @0x8257800: dns_validator_destroy 
dnssec: validating www.example.com A: in fetch_callback_validator 
dnssec: validating www.example.com A: keyset with trust 7 
dnssec: validating www.example.com A: resuming validate 
validating www.example.com A: verify rdataset: success 
dnssec: validating www.example.com A: marking as secure 
dnssec: validator @0x81ab000: dns_validator_destroy 
For the sake of brevity, the date and time have been removed from this log output, which shows 
both A RRs being validated and being marked as secure. 
Signing the sub.example.com Zone 
The process for signing a subdomain is essentially similar to that defined for signing a zone with one 
single difference. The zone sub.example.com is the child of the secure zone example.com, or, if you prefer, 
example.com is the secure parent of sub.example.com. A Delegated Signer (DS) RR can be added to the 
example.com zone file to create secure delegation. The zone sub.example.com will join the chain of trust 
whose current secure entry point is example.com. For clarity and ease of key rollover, separate KSK and 
ZSK RR will be used. 
You generate the ZSK for sub.example.com like so: 
# dnssec-keygen -a rsasha256 -b 2048 -n zone sub.example.com 
Ksub.example.com.+008+60366 
You generate the KSK for sub.example.com like so: 
# dnssec-keygen -a rsasha256 -b 2048 -f KSK -n zone example.com 
Ksub.example.com.+008+23110 
CHAPTER 11  DNSSEC 
348 
To include the keys in the sub.example.com zone file, do this: 
$TTL 86400 ; 1 day 
$ORIGIN sub.example.com. 
@            IN SOA ns1.sub.example.com. hostmaster.example.com. ( 
2010122000 ; serial 
10800      ; refresh (3 hours) 
15         ; retry (15 seconds) 
604800     ; expire (1 week) 
10800      ; nx (3 hours) 
IN NS ns3.example.com. 
IN NS ns4.example.com. 
IN MX 10 mail.example.com. 
ns3           IN A 10.2.3.4 
ns4           IN A 10.2.3.5 
fred          IN A 10.1.2.1 
$INCLUDE Ksub.example.com.+008+60366.key ; ZSK 
$INCLUDE Ksub.example.com.+008+23110.key ; KSK 
Here’s how to sign the zone sub.example.com: 
master.sub.example.com  Ksub.example.com.+008+60366 
master.sub.example.com.signed 
Signatures generated:                       12 
Signatures retained:                         0 
Signatures dropped:                          0 
Signatures successfully verified:            0 
Signatures unsuccessfully verified:          0 
Runtime in seconds:                      0.137 
Signatures per second:                  87.469 
This command line is the same as that for the zone example.com using the revised keys and zone file 
names, with the exception that the -g argument is used to generate the file dsset-sub.example.com. 
(containing the DS RRs for the parent). This file may, depending on policy, be sent to the parent DNS 
administrator by any suitable, but secure, process including, increasingly, via a registrar's secure web 
interface to enable secure delegation, the creation of a chain of trust, which is described in the next 
section. While the file does not contain secure information (it contains normal RR data), it is vital that 
the recipient be able to authenticate the sender and hence create the appropriate level of trust. The 
named.conf file for the master and slave servers for this subdomain are the same as those used for 
example.com and require no special treatment. Because sub.example.com is authenticated via the zone 
example.com, no action is required at the name server ns1.example.net—its trusted-keys clause with a 
trusted anchor for example.com will cover sub.example.com as well through the chain of trust. 
 Note Inspection of the file dsset-sub.example.com. will, in this case, show two DS RRs. The first is using a 
digest algorithm of SHA1 (value 1, mandatory) that must be supported by all validating resolvers and the second 
using the algorithm SHA256 (value 2), a more secure digest which may not be supported by all validating 
CHAPTER 11 ■ DNSSEC 
349
Creating the Chain of Trust 
When the parent administrator receives the dsset-sub.example.com. it’s placed in a suitable directory. 
The dsset-sub.example.com. file is included in the original example.com zone as shown here (the location 
in the zone file is not important, but note that the file name always ends with a dot): 
$TTL 86400 ; 1 day 
$ORIGIN example.com. 
@            IN SOA ns1.example.com. hostmaster.example.com. ( 
2010122000 ; serial 
10800      ; refresh (3 hours) 
15         ; retry (15 seconds) 
604800     ; expire (1 week) 
10800      ; nx (3 hours) 
IN  NS ns1.example.com. 
IN  NS ns2.example.com. 
IN  MX 10 mail.example.com. 
IN  MX 10 mail1.example.com. 
_ldap._tcp  IN  SRV 5 2 235 www 
ns1         IN  A  192.168.2.6 
ns2         IN  A  192.168.23.23 
www         IN  A  10.1.2.1 
IN  A  172.16.2.1 
mail        IN  A  192.168.2.3 
mail1       IN  A  192.168.2.4 
$ORIGIN sub.example.com. 
@           IN  NS ns3.sub.example.com. 
IN  NS ns4.sub.example.com. 
ns3         IN  A  10.2.3.4 ; glue RR 
ns4         IN  A  10.2.3.5 ; glue RR 
$INCLUDE keys/Kexample.com.+008+27228.key ; KSK 
$INCLUDE keys/Kexample.com.+008+34957.key ; ZSK 
$INCLUDE dsset-sub.example.com. ; DS RR 
Re-sign the zone by executing the dnssec-signzone command exactly as before: 
# dnssec-signzone -o example.com -t -k Kexample.com.+008+34957 \ 
master.example.com Kexample.com.+008+27228 
master.example.com.signed 
Signatures generated:                       22 
Signatures retained:                         0 
Signatures dropped:                          0 
Signatures successfully verified:            0 
Signatures unsuccessfully verified:          0 
Runtime in seconds:                      0.607 
Signatures per second:                  36.120 
The only thing that has changed is that the Signatures generated line has gone from 21 in the first 
version to 22 in this version because of the additional DS RRset, which has now been signed. The 
resulting zone file is exactly the same as the first signed zone but with an updated signature expiry, and 
the additional DS RR has been added and signed as shown in the following fragment: 
sub.example.com. 86400 IN NS   ns3.sub.example.com. 
86400 IN   NS    ns4.sub.example.com. 
Documents you may be interested
Documents you may be interested