Estou jogando com DNSSEC para meu domínio, meu servidor DNS é dual homed (com limites adequados sobre o que pode ser consultado na interface pública) e abrange meu domínio público, mas também um domínio privado de nível superior (.loc) que eu usar na minha LAN.
Estou lutando para descobrir como adicionar um registro DS para o domínio .loc em minha configuração do bind9. Por ser um domínio de nível superior, normalmente seriam servidores raiz listados.
Posso adicioná-lo ao meu arquivo de zona antes da instrução $ORIGIN?
Você realmente não pode adicionar um
DSregistro para algo que não faz parte da árvore, pois não há um relacionamento pai/filho adequado para tal zona.Deve ser possível usar
trusted-keysem seus resolvedores de validação internos para substituir as chaves (ou a falta delas) especificadas no DNS .Vale a pena observar, no entanto, que apenas escolher um TLD arbitrário e usá-lo internamente não é uma boa prática. Especialmente hoje em dia, quando as comportas foram abertas e novos TLDs públicos são registrados o tempo todo.