1

Я посмотрел много онлайн-уроков о том, как развернуть DNSSEC. Короче говоря, шаги: генерировать ключи (ZSK и KSK), подписать зону. Команда, которую я использовал для подписания файла зоны forward.com (для зоны com ):

dnssec-signzone -o com -S forward.com

Результат, который я получил:

Verifying the zone using the following algorithms: RSASHA256.
Zone fully signed:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
                      ZSKs: 1 active, 0 stand-by, 0 revoked

Цель KSK - подписать ZSK. Когда это произойдет? это подписывается автоматически, когда я выполняю подписывание зоны?

Пожалуйста, уточните мне. Мне нужно, чтобы мой ZSK был подписан KSK. Как?

|источник

1 ответ1

0

ZSK и KSK публикуются как обычные записи «DNSKEY» в той же зоне, и поэтому они подписываются, как и любая другая запись, когда подписывается вся зона. Единственная особая логика:

  • Если это запись DNSKEY, CDNSKEY или CDS (или если зона только для KSK), то эта запись подписывается с использованием KSK и ZSK. (Это означает, что ключи подписываются сами, а ZSK подписываются KSK и т.д.)

  • Если это другой тип записи, он подписывается с использованием ZSK.

Это происходит автоматически как часть программы dnssec-signzone (функция signset() в исходном коде BIND9 , bin/dnssec/dnssec-signzone.c .)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .