PERFORCE change 196369 for review

Mon Jul 18 21:16:45 UTC 2011

http://p4web.freebsd.org/@@196369?ac=10

Change 196369 by rene at rene_acer on 2011/07/18 21:15:39

	Some more of network-servers translated.

Affected files ...

.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#43 edit

Differences ...

==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#43 (text+ko) ====

@@ -4279,14 +4279,131 @@
 	    role="Zone Signing Key">ZSK</acronym>).  Meer over de verschillende
 	  soorten sleutels komt aan bod in <xref
 	    linkend="dns-dnssec-auth">.</para>
-<!-- rene hier-->
+
+	<para>Nu moet de sleutel gecontroleerd en geformatteerd worden zodat
+	  <acronym>BIND</acronym> deze kan gebruiken.  Maak om de sleutel te
+	  controleren een <acronym role="Delegation Signer">DS</acronym> -
+	  <acronym role="Resource Record">RR</acronym>-paar aan.  Maak een
+	  bestand aan dat deze <acronym role="Resource Record">RR</acronym>s
+	  bevat aan met</para>
+
+	<screen>&prompt.user; <userinput>dnssec-dsfromkey -f root-dnskey . &gt; root.ds</userinput></screen>
+
+	<para>Deze records gebruiken respectievelijk SHA-1 en SHA-256, en dienen
+	  er als het volgende voorbeeld uit te zien, waarbij het langere record
+	  SHA-256 gebruikt.</para>
+
+	<programlisting>. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E
+. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</programlisting>
+
+	<para>Het SHA-256 <acronym>RR</acronym> kan nu worden vergeleken met de
+	  digest in <ulink
+	    url="https://data.iana.org/root-anchors/root-anchors.xml">https://data.iana.org/root-anchors/root-anchors.xml</ulink>.
+	  Om er absoluut zeker van te zijn dat er niet geknoeid is met de
+	  sleutel kunnen de gegevens in het <acronym>XML</acronym>-bestand
+	  worden gecontroleerd met de <acronym>PGP</acronym>-handtekening in
+	  <ulink url="https://data.iana.org/root-anchors/root-anchors.asc">https//data.iana.org/root-anchors/root-anchors.asc</ulink>.</para>
+
+	<para>Vervolgens dient de sleutel juist geformateerd te worden.  Dit
+	  verschilt een beetje tussen versie 9.6.2 en versie 9.7 en later van
+	  <acronym>BIND</acronym>.  In versie 9.7 is ondersteuning toegevoegd om
+	  automatisch veranderingen aan de sleutel te volgen en deze bij te
+	  werken indien nodig.  Dit wordt gedaan met
+	  <literal>managed-keys</literal> zoals in het volgende voorbeeld te
+	  zien is.  Als de oudere versie gebruikt wordt, wordt de sleutel
+	  toevoegd met een commando <literal>trusted-keys</literal> en dient
+	  deze handmatig bijgewerkt te worden.  Voor <acronym>BIND</acronym>
+	  9.6.2 ziet het formaat er uit als:</para>
+
+	<programlisting>trusted-keys {
+	"." 257 3 8
+	"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
+	FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
+	bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
+	X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
+	W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
+	Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
+	QxA+Uk1ihz0=";
+};</programlisting>
+
+	<para>Voor versie 9.7 ziet het formaat er echter zo uit:</para>
+
+	<programlisting>managed-keys {
+	"." initial-key 257 3 8
+	"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
+	FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
+	bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
+	X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
+	W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
+	Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
+	QxA+Uk1ihz0=";
+};</programlisting>
+
+	<para>De root-sleutel kan nu aan <filename>named.conf</filename> worden
+	  toegevoegd, ofwel direct of door een bestand dat de sleutel bevat te
+	  includen.  Stel na deze stappen <acronym>BIND</acronym> in zodat het
+	  <acronym>DNSSEC</acronym>-validatie uitvoert op queries door
+	  <filename>named.conf</filename> te bewerken en het volgende aan de
+	  directief <literal>options</literal> toe te voegen:</para>
+
+	<programlisting>dnssec-enable yes;
+dnssec-validation yes;</programlisting>
+
+	<para>Om te controleren dat het ook echt werkt, kan
+	  <application>dig</application> gebruikt worden om een query op een
+	  ondertekende zone uit te voeren met de zojuist geconfigureerde
+	  resolver.  Een succesvol antwoord zal de vlag <literal>AD</literal>
+	  bevatten om aan te geven dat de gegevens zijn geautenticeerd.  Een
+	  query als</para>
+
+	<screen>&prompt.user; <userinput>dig @<replaceable>resolver</replaceable> +dnssec se ds </userinput></screen>
+
+	<para>zou het <acronym>DS</acronym> <acronym>RR</acronym> paar voor de
+	  <literal>.se</literal>-zone moeten teruggeven.  In de sectie
+	  <literal>flags:</literal> moet de vlag <literal>AD</literal> te zien
+	  zijn, als in:</para>
+
+	<programlisting>...
+;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
+...</programlisting>
+
+	<para>De resolver is nu in staat om <acronym>DNS</acronym>-queries te
+	  autenticeren.</para>
       </sect3>
 
-<!--rene keep build alive-->
       <sect3 id="dns-dnssec-auth">
 	<title>Configuratie van een autoratieve
 	  <acronym>DNS</acronym>-server</title>
-	<para/>
+
+	<para>Om een autoratieve naamserver een met <acronym>DNSSEC</acronym>
+	  ondertekende zone te laten serveren is wat meer werk nodig.  Een zone
+	  wordt ondertekend met cryptografische sleutels die aangemaakt moeten
+	  worden.  Het is mogelijk om hier slechts &eacute;&eacute;n sleutel
+	  voor te gebruiken.  De methode die de voorkeur verdient is echter om
+	  een sterke, goed beschermde Key Signing Key (<acronym
+	    role="Key Signing Key">KSK</acronym>) die niet vaak wordt geroteerd
+	  en een Zone Signing Key (<acronym
+	    role="Zone Signing Key">ZSK</acronym>) die vaker wordt geroteerd te
+	  hebben.  Informatie over aanbevolen procedures staat in <ulink
+	    url="http://tools.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym>
+	  4641: <acronym>DNSSEC</acronym> Operational Practices</ulink>.
+	  Procedures betreffende de rootzone staan in <ulink
+	    url="http://www.root-dnssec.org/wp-content/uploads/2010/06/icann-dps-00.txt"><acronym>DNSSEC</acronym>
+	    Practice Statement for the Root Zone <acronym>KSK</acronym>
+	    operator</ulink> en <ulink url="http://www.root-dnssec.org/wp-content/uploads/2010/06/vrsn-dps-00.txt"><acronym>DNSSEC</acronym>
+	    Practice Statement for the Root Zone <acronym>ZSK</acronym>
+	    operator</ulink>.  De <acronym role="Key Signing Key">KSK</acronym>
+	  wordt gebruikt om een autoriteitsketen voor de te valideren gegevens
+	  op te bouwen en wordt daarom ook een Secure Entry Point (<acronym
+	    role="Secrure Entry Point">SEP</acronym>)-sleutel genoemd.  Een
+	  message digest van deze sleutel, dat Delegation Signer (<acronym
+	    role="Delegation Singer">DS</acronym>)-record genoemd wordt, moet
+	  gepubliceerd zijn in de ouderzone om een vertrouwensketen op te
+	  bouwen.  Hoe dit bereikt wordt hangt af van de eigenaar van de
+	  ouderzone.  De <acronym role="Zone Signing Key">ZSK</acronym> wordt
+	  gebruikt om de zone te ondertekenen, en hoeft alleen daar gepubliceerd
+	  te worden.</para>
+<!--rene hier-->
       </sect3>
     </sect2>
 
