將 DNSSEC 與私有 TLD 結合使用

我正在為我的域使用 DNSSEC，我的 DNS 伺服器是雙宿主的（對可以在公共介面上查詢的內容有適當的限制），它既涵蓋了我的公共域，也涵蓋了我的私有頂級域 (.loc)在我的區域網路上使用。

我正在努力研究如何將 .loc 域的 DS 記錄添加到我的 bind9 配置中。因為它是頂級域，所以通常會列出根伺服器。

我可以在 $ORIGIN 語句之前將它添加到我的區域文件中嗎？

您不能真正DS為不屬於樹的內容添加記錄，因為這樣的區域沒有適當的父/子關係。

應該可以trusted-keys在您的內部驗證解析器上使用來覆蓋 DNS 中指定的密鑰（或缺少密鑰）。

然而，值得注意的是，僅僅選擇一個任意的 TLD 並在內部使用它並不是一個好的做法。尤其是現在，閘門已經打開，新的公共 TLD 一直在註冊。

引用自：https://serverfault.com/questions/745270