<div dir="ltr">Thanks for the quick reply!<br><br>So for unbound installed in a default config on a Linux box, that seems reasonable.  But that doesn't help with Windows, and requires unbound installed (rather than just e.g. libunbound-dev on *buntu).  I'm hoping to find a solution that will be very cross-platform friendly and not require an extra dependency, but I can sacrifice the latter in the interest of the former if necessary.</div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 29, 2014 at 8:09 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Mon, 29 Sep 2014, Thomas Winget wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Despite my best efforts searching, I can't seem to find the correct way to deal with DNSSEC trust anchors cross-platform.  I would<br>
like to enable DNSSEC validation for various DNS-based functions in a program that uses libunbound (C++), but maintaining trust<br>
anchors within the git repo is untenable (as some users don't compile from source).  Note: the program uses libunbound for DNS<br>
queries, not as a server.<br>
Can anyone point me in the right direction for where various OS keep DNSSEC anchors, or if they include them?  Currently we build for<br>
Win (XP+), OSX, Linux, and FreeBSD.<br>
</blockquote>
<br></div></div>
Are you referring to the root key and the dlv key? Or are you referring<br>
to your own customer KSK keys?<br>
<br>
fedora/rhel and I believe debian/ubuntu, put the root key in<br>
/var/lib/unbound/root.anchor maintained by unbound-anchor.<br>
<br>
On fedora/rhel, we put the dlv key at /etc/unbound/dlv.isc.org.key<br>
<br>
custom KSKs on fedora/rhel go into /etc/unbound/keys.d<br>
<br>
That said, libreswan for example uses libunbound, and it actually<br>
includes its own copy of the root KSK. I wish we could get to a<br>
universal key directory, like /etc/dnssec/keys.d or something,<br>
using a single (bind) format for the key, but I think I will<br>
have a pony first.<span class="HOEnZb"><font color="#888888"><br>
<br>
Paul<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br>Thomas Winget<div>Computer Engineering<br>Purdue University '12</div>
</div>