<div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace">Hi, I had a misunderstanding.<br><br>drill is better than dig, I know, it was just an example of command.</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">In my conception, zones were auto signed by the daemon, Then I figured out this was a mistake.<br><br>Zones are signed using tools, like dns-keygen, ldns-keygen and more.<br><br>I was able to find LDNS and examples like ldns-keygen, ldns-signzone.<br><br>Since I use C in my system, I was able to read the code and I could get perfect work.<br>Only needed to create functions for my buffer, because I don't use struct FILE *.<br>I made a sign function with user interaction and my beautiful interface.<br><br>Then I know, I need the KSK and ZSK (key and private).<br>Using these keys I read the zone and sign every RR.<br>And done, zone signed!<br><br>Changed the zonefile to the new one.<br>Restart the service.<br><br></div><div class="gmail_default" style="font-family:monospace,monospace">After I put the DS in my registar. <br></div><div class="gmail_default" style="font-family:monospace,monospace"><br>Thanks for the help.</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qua., 7 de jul. de 2021 às 11:10, Unbound <<a href="mailto:unbound@tacomawireless.net">unbound@tacomawireless.net</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2021-07-07 02:32, Luiz Fernando Softov via Unbound-users wrote:<br>
> Hi, I'm trying to configure a DNSSEC for an auth-zone<br>
> But I can't find any doc about it.<br>
> <br>
> There is a way to enable DNSSEC for auth-zone or local-zone?<br>
> <br>
> Like a signed zone in BIND or NSD does?<br>
> So, I can do a 'dig @ip-dns-server <a href="http://example.com" rel="noreferrer" target="_blank">example.com</a> +dnssec'<br>
The command your looking for is "drill". :-)<br>
# drill -h<br>
drill version 1.7.0 (ldns version 1.7.0)<br>
Written by NLnet Labs.<br>
<br>
Copyright (c) 2004-2008 NLnet Labs.<br>
Licensed under the revised BSD license.<br>
There is NO warranty; not even for MERCHANTABILITY or FITNESS<br>
FOR A PARTICULAR PURPOSE.<br>
   Usage: drill name [@server] [type] [class]<br>
        <name>  can be a domain name or an IP address (-x lookups)<br>
        <type>  defaults to A<br>
        <class> defaults to IN<br>
<br>
        arguments may be placed in random order<br>
<br>
   Options:<br>
        -D              enable DNSSEC (DO bit)<br>
        -T              trace from the root down to <name><br>
        -S              chase signature(s) from <name> to a known key [*]<br>
        -I <address>    source address to query from<br>
        -V <number>     verbosity (0-5)<br>
        -Q              quiet mode (overrules -V)<br>
<br>
        -f file         read packet from file and send it<br>
        -i file         read packet from file and print it<br>
        -w file         write answer packet to file<br>
        -q file         write query packet to file<br>
        -h              show this help<br>
        -v              show version<br>
<br>
   Query options:<br>
        -4              stay on ip4<br>
        -6              stay on ip6<br>
        -a              fallback to EDNS0 and TCP if the answer is truncated<br>
        -b <bufsize>    use <bufsize> as the buffer size (defaults to 512 b)<br>
        -c <file>       use file for rescursive nameserver configuration<br>
                        (/etc/resolv.conf)<br>
        -k <file>       specify a file that contains a trusted DNSSEC key [**]<br>
                        Used to verify any signatures in the current answer.<br>
                        When DNSSEC enabled tracing (-TD) or signature<br>
                        chasing (-S) and no key files are given, keys are read<br>
                        from: /etc/unbound/root.key<br>
        -o <mnemonic>   set flags to:<br>
                        [QR|qr][AA|aa][TC|tc][RD|rd][CD|cd][RA|ra][AD|ad]<br>
                        lowercase: unset bit, uppercase: set bit<br>
        -p <port>       use <port> as remote port number<br>
        -s              show the DS RR for each key in a packet<br>
        -u              send the query with udp (the default)<br>
        -x              do a reverse lookup<br>
        when doing a secure trace:<br>
        -r <file>       use file as root servers hint file<br>
        -t              send the query with tcp (connected)<br>
        -d <domain>     use domain as the start point for the trace<br>
        -y <name:key[:algo]>    specify named base64 tsig key, and optional an<br>
                        algorithm (defaults to <a href="http://hmac-md5.sig-alg.reg.int" rel="noreferrer" target="_blank">hmac-md5.sig-alg.reg.int</a>)<br>
        -z              don't randomize the nameservers before use<br>
<br>
   [*] = enables/implies DNSSEC<br>
   [**] = can be given more than once<br>
<br>
   <a href="mailto:ldns-team@nlnetlabs.nl" target="_blank">ldns-team@nlnetlabs.nl</a> | <a href="http://www.nlnetlabs.nl/ldns/" rel="noreferrer" target="_blank">http://www.nlnetlabs.nl/ldns/</a><br>
<br>
# drill -TD host.some.domain<br>
# drill -D @www.xxx.yyy.zzz host.some.domain<br>
<br>
HTH<br>
<br>
--Chris<br>
</blockquote></div>