ADS103 Asked: 2021-12-04 08:18:19 +0800 CST2021-12-04 08:18:19 +0800 CST 2021-12-04 08:18:19 +0800 CST 在 Bind 上设置 DNSSEC 时,哪些 DNSKEY 记录属于区域文件? 772 区域文件应该只包含 KSK 的 DNSKEY 记录,还是也应该包含 ZSK 的 DNSKEY 记录? bind dnssec 1 个回答 Voted Best Answer Patrick Mevzek 2021-12-04T09:11:39+08:002021-12-04T09:11:39+08:00 全部。 因为父节点有一条DS 记录,总而言之,它是 KSK 的散列。因此,当遵循信任链时,递归解析DS将从父级获取该DNSKEY记录,并从子级获取记录,并检查记录中是否至少有一个键与该DNSKEY记录匹配DS,然后继续验证(否则在那里立即失败)。 根据 §2.1.1。在 RFC4034 中,每条DNSKEY记录都有一个标志属性,允许解析器知道这个给定的加密材料是用于区域密钥还是密钥签名密钥。 请注意,KSK/ZSK 拆分很常见,但不是唯一的情况。您还有一个 CSK 情况,其中 C=Common,您有一个密钥,既直接签署所有其他记录,也有匹配的DS记录在父项。 两者都是有效的设置,具有不同的优点和缺点。 另请注意,DNSKEY记录集甚至可以包含尚未用于签名的密钥,也可以在记录中包含尚未用于签名的密钥DS,例如在轮换期间发生这种情况(您首先需要在区域中引入密钥并让解析器缓存它,然后在一段时间后您可以开始使用它进行签名,然后在一段时间后再次启用相关DS记录(如果需要)。
全部。
因为父节点有一条
DS记录,总而言之,它是 KSK 的散列。因此,当遵循信任链时,递归解析DS将从父级获取该DNSKEY记录,并从子级获取记录,并检查记录中是否至少有一个键与该DNSKEY记录匹配DS,然后继续验证(否则在那里立即失败)。根据 §2.1.1。在 RFC4034 中,每条
DNSKEY记录都有一个标志属性,允许解析器知道这个给定的加密材料是用于区域密钥还是密钥签名密钥。请注意,KSK/ZSK 拆分很常见,但不是唯一的情况。您还有一个 CSK 情况,其中 C=Common,您有一个密钥,既直接签署所有其他记录,也有匹配的
DS记录在父项。两者都是有效的设置,具有不同的优点和缺点。
另请注意,
DNSKEY记录集甚至可以包含尚未用于签名的密钥,也可以在记录中包含尚未用于签名的密钥DS,例如在轮换期间发生这种情况(您首先需要在区域中引入密钥并让解析器缓存它,然后在一段时间后您可以开始使用它进行签名,然后在一段时间后再次启用相关DS记录(如果需要)。