2

Я настроил Unbound для использования DNS через TLS, используя следующую конфигурацию. Как я могу настроить Unbound для проверки восходящего сертификата по имени хоста?

forward-zone:
        name: "."
        forward-addr: 1.1.1.1@853
        forward-addr: 1.0.0.1@853
        forward-addr: 2606:4700:4700::1111@853
        forward-addr: 2606:4700:4700::1001@853
        forward-tls-upstream: yes

3 ответа3

3

Сообщение об ошибке для добавления поддержки проверки сертификата вышестоящего DNS-сервера было исправлено 19 апреля 2018 года.

Адаптируем пример из комментария 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Также есть объяснение того, как это работает - имя хештега позволяет установить имя аутентификации tls для зон-заглушек и с командами прямого управления unbound-control. Вокруг «@» и «#» не должно быть пробелов.

2

К сожалению, вы не можете. Существует неразрешенная ошибка для этого:

unbound с использованием TLS в конфигурации пересылки не проверяет сертификат сервера

Так что с Unbounds DNS over TLS ваши запросы могут быть перехвачены.

1

Ошибка «unbound с использованием TLS в конфигурации пересылки не проверяет сертификат сервера» была устранена 19 апреля, см. Комментарий 9.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .