Pour gérer dnssec avec re2o, on a fait des tests avec 5-1, globalement re2o marche avec knot ou bind pour gérer des zones dns.

En ce qui concerne DNSEC, il apparait que utiliser knot est beaucoup plus simple, je vous explique pourquoi. Evidemment peut-être que des éléments plus subtils m’ont échappé.

Avec bind, il faut générer les clefs avec une commande pour chaque zone, puis ensuite lancer une commande sur le fichier de zone à chaque fois qu’on le modifie pour le signer, cf https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securiser-les-dns-du-domaine/ . Du coup il est nécessaire d’avoir un bout de re2o-tools qui s’occupe de lancer la commande à chaque fois qu’on regen la zone.

Avec knot, c’est beaucoup plus simple, cf https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html . Il suffit d’ajouter dnssec-signing: on et dnssec-policy: default dans la zone, knot s’occupe alors de générer la clef. Il reste juste à récup la DNSKEY et la publier chez gandi/ovh/whatever.