Bind

DNSSEC Bind-9.11 自動管理和內聯更新

  • April 18, 2019

我試圖了解 Bind 如何在沒有外部干預的情況下管理 DNSSEC 區域密鑰簽名。具體是什麼程序(命名?)檢測到區域簽名即將到期,檢測和退出的方法是什麼。

named 是否會定期輪詢所有區域鍵,然後產生更新過程?除了下面列出的設置之外,是否需要自動維護才能正常工作?更新是否必須由 rndc 觸發或重新載入命名?

. . .
options {
 . . .
 dnssec-enable yes;
 key-directory "/usr/local/etc/namedb/master/";
 dnssec-validation auto;
. . .
}
. . .
zone example.com {
 type master;
 file "/usr/local/etc/namedb/master/example.com.hosts";
 key-directory "/usr/local/etc/namedb/master/";
 auto-dnssec maintain;
 inline-signing yes;
};

根據https://www.sidn.nl/a/dnssec/dnssec-signatures-in-bind-named以下是目前程序:

如果您使用“自動 dnssec 維護”選項,則每小時檢查一次密鑰目錄以了解密鑰對的更改。根據密鑰文件中的元數據,為每個密鑰對分配狀態“未發布”、“已發布”、“活動”、“過期”或“撤回”。因此,已發布的 DNSKEY 記錄會自動保持最新。此外,可以在必要時重置數字簽名(在 RRSIG 記錄中)。因此,此選項的效果與在 cron 作業中包含“rndc sign”命令以及“auto-dnssec allow”選項的效果相同。

引用自:https://serverfault.com/questions/962661