Bind
DNSSEC Bind-9.11 自動管理和內聯更新
我試圖了解 Bind 如何在沒有外部干預的情況下管理 DNSSEC 區域密鑰簽名。具體是什麼程序(命名?)檢測到區域簽名即將到期,檢測和退出的方法是什麼。
named 是否會定期輪詢所有區域鍵,然後產生更新過程?除了下面列出的設置之外,是否需要自動維護才能正常工作?更新是否必須由 rndc 觸發或重新載入命名?
. . . options { . . . dnssec-enable yes; key-directory "/usr/local/etc/namedb/master/"; dnssec-validation auto; . . . } . . . zone example.com { type master; file "/usr/local/etc/namedb/master/example.com.hosts"; key-directory "/usr/local/etc/namedb/master/"; auto-dnssec maintain; inline-signing yes; };
根據https://www.sidn.nl/a/dnssec/dnssec-signatures-in-bind-named以下是目前程序:
如果您使用“自動 dnssec 維護”選項,則每小時檢查一次密鑰目錄以了解密鑰對的更改。根據密鑰文件中的元數據,為每個密鑰對分配狀態“未發布”、“已發布”、“活動”、“過期”或“撤回”。因此,已發布的 DNSKEY 記錄會自動保持最新。此外,可以在必要時重置數字簽名(在 RRSIG 記錄中)。因此,此選項的效果與在 cron 作業中包含“rndc sign”命令以及“auto-dnssec allow”選項的效果相同。