Date: Fri, 22 Jul 2011 20:07:42 GMT From: Rene Ladan <rene@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 196561 for review Message-ID: <201107222007.p6MK7gGR051287@skunkworks.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://p4web.freebsd.org/@@196561?ac=10 Change 196561 by rene@rene_acer on 2011/07/22 20:06:38 network-servers: - sanity/spell fixes - update to future 1.135, which fixes file names from an example usage of dnssec-keygen. [1] Discussed with: gjb@ on bsddocs [1] Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#45 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml#45 (text+ko) ==== @@ -4,7 +4,7 @@ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.sgml,v 1.32 2011/05/28 09:38:36 rene Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/network-servers/chapter.sgml - %SRCID% 1.134 + %SRCID% 1.135 --> <chapter id="network-servers"> @@ -4201,8 +4201,8 @@ <acronym>DNS</acronym>-records. Door digitale handtekeningen te gebruiken kan een resolver de integriteit van een record controleren. Merk op dat <acronym role="Domain Name Security Extensions">DNSSEC</acronym> - alleen integriteit biedt via het digitaal ondertekenen van de Resource - Record (<acronym role="Resouce Record">RR</acronym>s). Het biedt noch + alleen integriteit biedt via het digitaal ondertekenen van het Resource + Record (<acronym role="Resource Record">RR</acronym>s). Het biedt noch betrouwbaarheid noch bescherming tegen onjuiste aannames van eindgebruikers. Dit betekent dat het mensen niet kan beschermen tegen het bezoeken van <hostid role="domainname">voorbeeld.net</hostid> in @@ -4223,7 +4223,7 @@ nodig om gebruik te kunnen maken van de ondertekende rootzones tijdens het valideren van <acronym>DNS</acronym>-verzoeken. Dit komt doordat eerdere versies de benodigde algoritmes om validatie met de sleutel - voor de rootzone te uit te veoren niet hebben. Het wordt sterk + voor de rootzone te uit te voeren niet hebben. Het wordt sterk aangeraden om de nieuwste versie van <acronym>BIND</acronym> 9.7 te gebruiken om gebruik te kunnen maken van automatische sleutel-updates voor de rootsleutel en van andere mogelijkheden om zones ondertekend en @@ -4311,7 +4311,7 @@ werken indien nodig. Dit wordt gedaan met <literal>managed-keys</literal> zoals in het volgende voorbeeld te zien is. Als de oudere versie gebruikt wordt, wordt de sleutel - toevoegd met een commando <literal>trusted-keys</literal> en dient + toegevoegd met een commando <literal>trusted-keys</literal> en dient deze handmatig bijgewerkt te worden. Voor <acronym>BIND</acronym> 9.6.2 ziet het formaat er uit als:</para> @@ -4339,10 +4339,10 @@ QxA+Uk1ihz0="; };</programlisting> - <para>De root-sleutel kan nu aan <filename>named.conf</filename> worden + <para>De rootsleutel kan nu aan <filename>named.conf</filename> worden toegevoegd, ofwel direct of door een bestand dat de sleutel bevat te includen. Stel na deze stappen <acronym>BIND</acronym> in zodat het - <acronym>DNSSEC</acronym>-validatie uitvoert op queries door + <acronym>DNSSEC</acronym>-validatie uitvoert op verzoeken door <filename>named.conf</filename> te bewerken en het volgende aan de directief <literal>options</literal> toe te voegen:</para> @@ -4350,11 +4350,11 @@ dnssec-validation yes;</programlisting> <para>Om te controleren dat het ook echt werkt, kan - <application>dig</application> gebruikt worden om een query op een + <application>dig</application> gebruikt worden om een verzoek op een ondertekende zone uit te voeren met de zojuist geconfigureerde resolver. Een succesvol antwoord zal de vlag <literal>AD</literal> bevatten om aan te geven dat de gegevens zijn geautenticeerd. Een - query als</para> + verzoek als</para> <screen>&prompt.user; <userinput>dig @<replaceable>resolver</replaceable> +dnssec se ds </userinput></screen> @@ -4367,7 +4367,7 @@ ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ...</programlisting> - <para>De resolver is nu in staat om <acronym>DNS</acronym>-queries te + <para>De resolver is nu in staat om <acronym>DNS</acronym>-verzoeken te autenticeren.</para> </sect3> @@ -4395,9 +4395,9 @@ operator</ulink>. De <acronym role="Key Signing Key">KSK</acronym> wordt gebruikt om een autoriteitsketen voor de te valideren gegevens op te bouwen en wordt daarom ook een Secure Entry Point (<acronym - role="Secrure Entry Point">SEP</acronym>)-sleutel genoemd. Een - message digest van deze sleutel, dat Delegation Signer (<acronym - role="Delegation Singer">DS</acronym>)-record genoemd wordt, moet + role="Secure Entry Point">SEP</acronym>)-sleutel genoemd. Een + bericht-digest van deze sleutel, dat Delegation Signer (<acronym + role="Delegation Signer">DS</acronym>)-record genoemd wordt, moet gepubliceerd zijn in de ouderzone om een vertrouwensketen op te bouwen. Hoe dit bereikt wordt hangt af van de eigenaar van de ouderzone. De <acronym role="Zone Signing Key">ZSK</acronym> wordt @@ -4431,8 +4431,8 @@ sleutels per zone zijn. Het is ook mogelijk om de sleutels te hernoemen. Voor elk <acronym>KSK</acronym>-bestand:</para> - <screen>&prompt.user; <userinput>mv Kvoorbeeld.com+005+nnnnn.key Kvoorbeeld.com+005+nnnn.KSK.key</userinput> -&prompt.user; <userinput>mv Kvoorbeeld.com+005+nnnnn.private Kvoorbeeld.com+005+nnnnn.KSK.private</userinput></screen> + <screen>&prompt.user; <userinput>mv Kvoorbeeld.com.+005+nnnnn.key Kvoorbeeld.com.+005+nnnn.KSK.key</userinput> +&prompt.user; <userinput>mv Kvoorbeeld.com.+005+nnnnn.private Kvoorbeeld.com.+005+nnnnn.KSK.private</userinput></screen> <para>Voor <acronym>ZSK</acronym>-bestanden dient <literal>KSK</literal> waar nodig door <literal>ZSK</literal> vervangen te worden. De @@ -4440,19 +4440,18 @@ opdracht <literal>$include</literal> te gebruiken. Het zou er ongeveer als volgt uit moeten zien:</para> - <programlisting>$include Kvoorbeeld.com.+005+nnnnn.KSK.key ; KSK $include Kvoorbeeld.com.+005+nnnnn.ZSK.key ; ZSK</programlisting> - <para>Tenslotte, onderteken de zone en vertel <acronym>BIND</acronym> om + <para>Onderteken tenslotte de zone en vertel <acronym>BIND</acronym> om het ondertekende zonebestand te gebruiken. Voor het ondertekenen van een zone wordt <application>dnssec-signzone</application> gebruikt. Het commando om de zone <hostid role="domainname">voorbeeld.com</hostid>, dat zich in <filename>voorbeeld.com.db</filename> bevindt, zou er ongeveer zo - uitzien:</para> + uit moeten zien:</para> - <screen>&prompt.user; <userinput>dnssec-signzone -o voorbeeld.com -k Kvoorbeeld.com+005+nnnnn.KSK voorbeeld.com.db Kvoorbeeld.com+005+nnnnn.ZSK.key</userinput></screen> + <screen>&prompt.user; <userinput>dnssec-signzone -o voorbeeld.com -k Kvoorbeeld.com.+005+nnnnn.KSK voorbeeld.com.db Kvoorbeeld.com.+005+nnnnn.ZSK.key</userinput></screen> <para>De sleutel die aan het argument <option>-k</option> wordt meegegeven is de <acronym>KSK</acronym> en het andere sleutelbestand @@ -4483,11 +4482,13 @@ oude sleutel te ondertekenen, en om daarna over te stappen op de nieuwe sleutel. Nadat deze handelingen zijn voltooid kan de oude sleutel uit de zone worden verwijderd. Wanneer dit niet wordt gedaan - kunnen de <acronym>DNS</acronym>-gegevens tijdelijk onbeschikbaar zijn totdat de nieuwe sleutel door de <acronym>DNS</acronym>-hierarchie is - gepropageerd. Meer informatie over sleutelwisselingen en andere + kunnen de <acronym>DNS</acronym>-gegevens tijdelijk onbeschikbaar zijn + totdat de nieuwe sleutel door de <acronym>DNS</acronym>-hiërarchie + is gepropageerd. Meer informatie over sleutelwisselingen en andere praktijken rondom <acronym>DNSSEC</acronym> staan in <ulink url="http://www.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym>; - 4641: <acronym>DNSSEC</acronym> Operational practices</ulink>.</para> + 4641: <acronym>DNSSEC</acronym> Operational + practices</ulink>.</para> </sect3> <sect3> @@ -4562,7 +4563,7 @@ <title>Verder lezen</title> <para>BIND/<application>named</application> hulppagina's: - &man.rndc.8;, &man.named.8;, &man.named.conf.5; &man.nsupdate.8; + &man.rndc.8; &man.named.8; &man.named.conf.5; &man.nsupdate.8; &man.dnssec-signzone.8; &man.dnssec-keygen.8;</para> <itemizedlist> @@ -4598,38 +4599,38 @@ <listitem> <para><ulink url="http://tools.ietf.org/html/rfc1034">RFC1034 - - Domeinnamen - Concepten en Faciliteiten</ulink></para> + Domain Names - Concepts and Facilitities</ulink></para> </listitem> <listitem> <para><ulink url="http://tools.ietf.org/html/rfc1035">RFC1035 - - Domeinnamen - Implementatie en Specificatie</ulink></para> + Domain Names - Implementation and Specification</ulink></para> </listitem> <listitem> <para><ulink url="http://tools.ietf.org/html/rfc4033">RFC4033 - - DNS Beveiligingsintroductie en Benodigdheden</ulink></para> + DNS Security Introduction and Requirements</ulink></para> </listitem> <listitem> <para><ulink url="http://tools.ietf.org/html/rfc4034">RFC4034 - - Resource Records voorde DNS-beveiligingsuitbreidingen</ulink></para> + Resource Records for the DNS Security Extensions</ulink></para> </listitem> <listitem> <para><ulink url="http://tools.ietf.org/html/rfc4035">RFC4035 - - Protocolwijzigingen voor de DNS-beveiligingsuitbreidingen</ulink></para> + Protocol Modifications for the DNS Security Extensions</ulink></para> </listitem> <listitem> <para><ulink url="http://tools.ietf.org/html/rfc4641">RFC4641 - - Operationeel gebruik van DNSSEC</ulink></para> + DNSSEC Operational Practices</ulink></para> </listitem> <listitem> <para><ulink url="http://tools.ietf.org/html/rfc5011">RFC5011 - - Geautomatiseerde updates van DNS-beveiliging ( - <acronym>DNSSEC</acronym> Trust Anchors)</ulink></para> + Automated Updates of DNS Security (<acronym>DNSSEC</acronym> Trust + Anchors)</ulink></para> </listitem> </itemizedlist> </sect2>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201107222007.p6MK7gGR051287>