Hallo Leute,
für alle die es interessiert, ich habe DNSSEC jetzt folgendermaßen realisiert:
Ich hab einen weiteren Server mit Ubuntu installiert. Dieser ist nicht in der Domäne. Darauf läuft ein BIND (Version 9.9+). Dieser holt sich die Zonen per AXFR und signiert diese (per inline signing). Der BIND vom UCS wird dabei zum hidden master, hat also keine NS-Einträge mehr in den Zonen.
Hier ist das ganze genauer beschrieben.
Funktioniert prinzipiell gut. Auf ein Problem möchte ich allerdings aufmerksam machen: das hidden master Konzept sieht wie gesagt vor, dass der hidden master selbst keinen NS-Eintrag in den Zonen hat, jedoch sehr wohl als primary master in den SOAs aufscheint. Das ist bei UCS derzeit nicht möglich zu realisieren, da als primary master automatisch der erste eingetragene NS gewählt wird. Könnte man eventuell ändern …
LG, David C.