domain-name-system – 使用DNSSEC管理多个相等的区域
发布时间:2020-12-14 23:39:40 所属栏目:资源 来源:网络整理
导读:我运行一个权威的名称服务器(BIND),我有几十个域具有相同的区域文件,即它们都使用/etc/bind/db.default3. 我正在考虑在我的服务器上部署DNSSEC,但到目前为止,我在其上找到的所有文档都要求我为每个区域执行许多手动步骤(例如生成KSK和ZSK). BIND 9.9的内联签
|
我运行一个权威的名称服务器(BIND),我有几十个域具有相同的区域文件,即它们都使用/etc/bind/db.default3.
我正在考虑在我的服务器上部署DNSSEC,但到目前为止,我在其上找到的所有文档都要求我为每个区域执行许多手动步骤(例如生成KSK和ZSK). BIND 9.9的内联签名使一些更容易,但不是一切. 那么,我可以在内联签名模式下为多个域使用相同的KSK吗?如果是这样,我是否可以在这些域的DS记录中加入相同的值?为什么我必须管理ZSK – 不应该BIND,考虑到KSK,能够为我处理这个问题吗? 解决方法
您可以为多个域使用相同的KSK,但这不是一个好主意,因为它意味着如果此密钥出现问题(加密,您丢失了私钥,或者您忘记更新它等)会影响多个域名. 对于给定密钥,您不能在多个区域中使用相同的DS,因为DS值是根据密钥和域名计算的!
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |