Я выполняю авторитетный сервер имен (BIND), и у меня есть несколько десятков доменов с идентичными зональными файлами, т.е. они все используют /etc/bind/db.default3
.
Я считаю развертывание DNSSEC на моем сервере, но до сих пор вся документация, которую я нашел на нем, потребует, чтобы я сделал много ручных шагов на зону (таких как генерация KSK и ZSK). BIND 9.9’s встроенное подписание делает часть из него легче, но не все.
Так, я могу заставить BIND, во встроено подписывающемся режиме, использовать тот же KSK для нескольких доменов? Если так, буду я мочь вставить то же значение DS
запись для этих доменов? И почему я должен справиться, ZSK – не был должен BIND, учитывая KSK, смочь заботиться об этом для меня?
Вы можете использовать один и тот же ключ KSK для нескольких доменов, но это не лучшая идея, поскольку это означает, что в случае возникновения проблемы с этим ключом (криптографически вы потеряете закрытый ключ или вы забыли продлить его и т. д.) это повлияет на более чем один домен. Для данного ключа нельзя иметь один и тот же DS в нескольких зонах, поскольку значение DS вычисляется как из ключа, так и из имени домена!