Как создать ключевую пару для DNSSEC?

Задача: сгенерировать ключевую пару TSIG для двух хостов, между которыми должны защищенно обновляться файлы зон.

1) Генерируем ключевую пару с именем dns1-dns2 в каталоге /etc/namedb:

# dnssec-keygen -a hmac-md5 -b 128 -n HOST -c IN -K /etc/namedb dns1-dns2

2) Посмотрим секрет ключа в одном созданных файлов:

# grep «Key» *.private

Key: 1ZRv1TqeYB4WeNLyBsSnwA==

3) Заменим в файлах /etc/namedb/named.conf и /etc/namedb/rndc.conf значение «secret» на фактически сгенерированное (см.п.2)
4) Перезапустим bind.
5) Подробнее здесь: