Bind
在 Bind 上設置 DNSSEC 時,哪些 DNSKEY 記錄屬於區域文件?
區域文件應該只包含 KSK 的 DNSKEY 記錄,還是也應該包含 ZSK 的 DNSKEY 記錄?
全部。
因為父節點有一條
DS
記錄,總而言之,它是 KSK 的散列。因此,當遵循信任鏈時,遞歸解析DS
將從父級獲取該DNSKEY
記錄,並從子級獲取記錄,並檢查記錄中是否至少有一個鍵與該DNSKEY
記錄匹配DS
,然後繼續驗證(否則在那裡立即失敗)。根據 §2.1.1。在 RFC4034 中,每條
DNSKEY
記錄都有一個標誌屬性,允許解析器知道這個給定的加密材料是用於區域密鑰還是密鑰簽名密鑰。請注意,KSK/ZSK 拆分很常見,但不是唯一的情況。您還有一個 CSK 情況,其中 C=Common,您有一個密鑰,既直接簽署所有其他記錄,也有匹配的
DS
記錄在父項。兩者都是有效的設置,具有不同的優點和缺點。
另請注意,
DNSKEY
記錄集甚至可以包含尚未用於簽名的密鑰,也可以在記錄中包含尚未用於簽名的密鑰DS
,例如在輪換期間發生這種情況(您首先需要在區域中引入密鑰並讓解析器記憶體它,然後在一段時間後您可以開始使用它進行簽名,然後在一段時間後再次啟用相關DS
記錄(如果需要)。