From owner-p4-projects@FreeBSD.ORG  Mon Jul 18 21:16:45 2011
Return-Path: <owner-p4-projects@FreeBSD.ORG>
Delivered-To: p4-projects@freebsd.org
Received: by hub.freebsd.org (Postfix, from userid 32767)
	id 5C79E1065670; Mon, 18 Jul 2011 21:16:45 +0000 (UTC)
Delivered-To: perforce@FreeBSD.org
Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34])
	by hub.freebsd.org (Postfix) with ESMTP id 1ED88106564A
	for <perforce@FreeBSD.org>; Mon, 18 Jul 2011 21:16:45 +0000 (UTC)
	(envelope-from rene@FreeBSD.org)
Received: from skunkworks.freebsd.org (skunkworks.freebsd.org
	[IPv6:2001:4f8:fff6::2d])
	by mx1.freebsd.org (Postfix) with ESMTP id 0C5D18FC15
	for <perforce@FreeBSD.org>; Mon, 18 Jul 2011 21:16:45 +0000 (UTC)
Received: from skunkworks.freebsd.org (localhost [127.0.0.1])
	by skunkworks.freebsd.org (8.14.4/8.14.4) with ESMTP id p6ILGihY000244
	for <perforce@FreeBSD.org>; Mon, 18 Jul 2011 21:16:44 GMT
	(envelope-from rene@FreeBSD.org)
Received: (from perforce@localhost)
	by skunkworks.freebsd.org (8.14.4/8.14.4/Submit) id p6ILGiqi000241
	for perforce@freebsd.org; Mon, 18 Jul 2011 21:16:44 GMT
	(envelope-from rene@FreeBSD.org)
Date: Mon, 18 Jul 2011 21:16:44 GMT
Message-Id: <201107182116.p6ILGiqi000241@skunkworks.freebsd.org>
X-Authentication-Warning: skunkworks.freebsd.org: perforce set sender to
	rene@FreeBSD.org using -f
From: Rene Ladan <rene@FreeBSD.org>
To: Perforce Change Reviews <perforce@FreeBSD.org>
Precedence: bulk
Cc: 
Subject: PERFORCE change 196369 for review
X-BeenThere: p4-projects@freebsd.org
X-Mailman-Version: 2.1.5
List-Id: p4 projects tree changes <p4-projects.freebsd.org>
List-Unsubscribe: <http://lists.freebsd.org/mailman/listinfo/p4-projects>,
	<mailto:p4-projects-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/p4-projects>
List-Post: <mailto:p4-projects@freebsd.org>
List-Help: <mailto:p4-projects-request@freebsd.org?subject=help>
List-Subscribe: <http://lists.freebsd.org/mailman/listinfo/p4-projects>,
	<mailto:p4-projects-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Mon, 18 Jul 2011 21:16:45 -0000

http://p4web.freebsd.org/@@196369?ac=10

Change 196369 by rene@rene_acer on 2011/07/18 21:15:39

	Some more of network-servers translated.

Affected files ...

.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#43 edit

Differences ...

==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#43 (text+ko) ====

@@ -4279,14 +4279,131 @@
 	    role="Zone Signing Key">ZSK</acronym>).  Meer over de verschillende
 	  soorten sleutels komt aan bod in <xref
 	    linkend="dns-dnssec-auth">.</para>
-<!-- rene hier-->
+
+	<para>Nu moet de sleutel gecontroleerd en geformatteerd worden zodat
+	  <acronym>BIND</acronym> deze kan gebruiken.  Maak om de sleutel te
+	  controleren een <acronym role="Delegation Signer">DS</acronym> -
+	  <acronym role="Resource Record">RR</acronym>-paar aan.  Maak een
+	  bestand aan dat deze <acronym role="Resource Record">RR</acronym>s
+	  bevat aan met</para>
+
+	<screen>&prompt.user; <userinput>dnssec-dsfromkey -f root-dnskey . &gt; root.ds</userinput></screen>
+
+	<para>Deze records gebruiken respectievelijk SHA-1 en SHA-256, en dienen
+	  er als het volgende voorbeeld uit te zien, waarbij het langere record
+	  SHA-256 gebruikt.</para>
+
+	<programlisting>. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E
+. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</programlisting>
+
+	<para>Het SHA-256 <acronym>RR</acronym> kan nu worden vergeleken met de
+	  digest in <ulink
+	    url="https://data.iana.org/root-anchors/root-anchors.xml">https://data.iana.org/root-anchors/root-anchors.xml</ulink>.
+	  Om er absoluut zeker van te zijn dat er niet geknoeid is met de
+	  sleutel kunnen de gegevens in het <acronym>XML</acronym>-bestand
+	  worden gecontroleerd met de <acronym>PGP</acronym>-handtekening in
+	  <ulink url="https://data.iana.org/root-anchors/root-anchors.asc">https//data.iana.org/root-anchors/root-anchors.asc</ulink>.</para>
+
+	<para>Vervolgens dient de sleutel juist geformateerd te worden.  Dit
+	  verschilt een beetje tussen versie 9.6.2 en versie 9.7 en later van
+	  <acronym>BIND</acronym>.  In versie 9.7 is ondersteuning toegevoegd om
+	  automatisch veranderingen aan de sleutel te volgen en deze bij te
+	  werken indien nodig.  Dit wordt gedaan met
+	  <literal>managed-keys</literal> zoals in het volgende voorbeeld te
+	  zien is.  Als de oudere versie gebruikt wordt, wordt de sleutel
+	  toevoegd met een commando <literal>trusted-keys</literal> en dient
+	  deze handmatig bijgewerkt te worden.  Voor <acronym>BIND</acronym>
+	  9.6.2 ziet het formaat er uit als:</para>
+
+	<programlisting>trusted-keys {
+	"." 257 3 8
+	"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
+	FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
+	bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
+	X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
+	W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
+	Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
+	QxA+Uk1ihz0=";
+};</programlisting>
+
+	<para>Voor versie 9.7 ziet het formaat er echter zo uit:</para>
+
+	<programlisting>managed-keys {
+	"." initial-key 257 3 8
+	"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
+	FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
+	bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
+	X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
+	W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
+	Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
+	QxA+Uk1ihz0=";
+};</programlisting>
+
+	<para>De root-sleutel kan nu aan <filename>named.conf</filename> worden
+	  toegevoegd, ofwel direct of door een bestand dat de sleutel bevat te
+	  includen.  Stel na deze stappen <acronym>BIND</acronym> in zodat het
+	  <acronym>DNSSEC</acronym>-validatie uitvoert op queries door
+	  <filename>named.conf</filename> te bewerken en het volgende aan de
+	  directief <literal>options</literal> toe te voegen:</para>
+
+	<programlisting>dnssec-enable yes;
+dnssec-validation yes;</programlisting>
+
+	<para>Om te controleren dat het ook echt werkt, kan
+	  <application>dig</application> gebruikt worden om een query op een
+	  ondertekende zone uit te voeren met de zojuist geconfigureerde
+	  resolver.  Een succesvol antwoord zal de vlag <literal>AD</literal>
+	  bevatten om aan te geven dat de gegevens zijn geautenticeerd.  Een
+	  query als</para>
+
+	<screen>&prompt.user; <userinput>dig @<replaceable>resolver</replaceable> +dnssec se ds </userinput></screen>
+
+	<para>zou het <acronym>DS</acronym> <acronym>RR</acronym> paar voor de
+	  <literal>.se</literal>-zone moeten teruggeven.  In de sectie
+	  <literal>flags:</literal> moet de vlag <literal>AD</literal> te zien
+	  zijn, als in:</para>
+
+	<programlisting>...
+;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
+...</programlisting>
+
+	<para>De resolver is nu in staat om <acronym>DNS</acronym>-queries te
+	  autenticeren.</para>
       </sect3>
 
-<!--rene keep build alive-->
       <sect3 id="dns-dnssec-auth">
 	<title>Configuratie van een autoratieve
 	  <acronym>DNS</acronym>-server</title>
-	<para/>
+
+	<para>Om een autoratieve naamserver een met <acronym>DNSSEC</acronym>
+	  ondertekende zone te laten serveren is wat meer werk nodig.  Een zone
+	  wordt ondertekend met cryptografische sleutels die aangemaakt moeten
+	  worden.  Het is mogelijk om hier slechts &eacute;&eacute;n sleutel
+	  voor te gebruiken.  De methode die de voorkeur verdient is echter om
+	  een sterke, goed beschermde Key Signing Key (<acronym
+	    role="Key Signing Key">KSK</acronym>) die niet vaak wordt geroteerd
+	  en een Zone Signing Key (<acronym
+	    role="Zone Signing Key">ZSK</acronym>) die vaker wordt geroteerd te
+	  hebben.  Informatie over aanbevolen procedures staat in <ulink
+	    url="http://tools.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym>
+	  4641: <acronym>DNSSEC</acronym> Operational Practices</ulink>.
+	  Procedures betreffende de rootzone staan in <ulink
+	    url="http://www.root-dnssec.org/wp-content/uploads/2010/06/icann-dps-00.txt"><acronym>DNSSEC</acronym>
+	    Practice Statement for the Root Zone <acronym>KSK</acronym>
+	    operator</ulink> en <ulink url="http://www.root-dnssec.org/wp-content/uploads/2010/06/vrsn-dps-00.txt"><acronym>DNSSEC</acronym>
+	    Practice Statement for the Root Zone <acronym>ZSK</acronym>
+	    operator</ulink>.  De <acronym role="Key Signing Key">KSK</acronym>
+	  wordt gebruikt om een autoriteitsketen voor de te valideren gegevens
+	  op te bouwen en wordt daarom ook een Secure Entry Point (<acronym
+	    role="Secrure Entry Point">SEP</acronym>)-sleutel genoemd.  Een
+	  message digest van deze sleutel, dat Delegation Signer (<acronym
+	    role="Delegation Singer">DS</acronym>)-record genoemd wordt, moet
+	  gepubliceerd zijn in de ouderzone om een vertrouwensketen op te
+	  bouwen.  Hoe dit bereikt wordt hangt af van de eigenaar van de
+	  ouderzone.  De <acronym role="Zone Signing Key">ZSK</acronym> wordt
+	  gebruikt om de zone te ondertekenen, en hoeft alleen daar gepubliceerd
+	  te worden.</para>
+<!--rene hier-->
       </sect3>
     </sect2>