Вопросы Теги

Как конкретно доверять другому серверу имен / зоне?

Чтобы удостовериться, что распознаватель также может разрешать, когда он не подключен к Интернету (что обычно не так), я настроил зону пересылки: 

zone "example.com" {
    type forward;
    forward only;
    forwarders { 1.2.3.4; 5.6.7.8; };
}

Перечисленные там пересылки являются авторитетными серверами имен. Это отлично работает, за исключением зоны, в которой включен dnssec. Проверка не выполняется, потому что запрос не выполняется рекурсивно и, следовательно, не подписан правильно (что я ожидаю).

Я не хочу отключать проверку dnssec для этой зоны, но вместо этого хочу доверять ключу.

Как я могу этого добиться? Можно ли настроить это для каждой зоны?

В отношении: bind9 настроить зону пересылки для локального домена без DNSSEC только для этой зоны

0
задан 14 November 2019 в 11:58
1 ответ

Если бы я понимаю вопрос правильно, проблема, казалось бы, была бы, что Вы по любой причине, которая не в состоянии проверить полную цепочку доверия полностью назад к корню (где у Вас есть доверительная привязка по умолчанию). Если бы проблема особенно происходит без интернет-соединения, которое, казалось бы, имело бы смысл.
, Что можно сделать (особенно, если Вы будете сделаны знающий о каких-либо изменениях, такой, как будто это - Ваша собственная зона) должен явно добавить Вашу собственную доверительную привязку для этой конкретной зоны непосредственно.

В BIND это было бы сделано с помощью trusted-keys директива конфигурации (или managed-keys как применимое для автоматизированного ( RFC5011) доверительные обновления привязки).
то, Что Вы делаете затем, по существу указывает ключ, которому Вы хотите доверять для некоторой конкретной зоны вместо того, чтобы полагаться на нормальную цепочку доверия, опубликованного через DS записи, прослеживающие полностью назад до корня.

, Например, 

trusted-keys {
     example.com. 257 3 8 "AwEAAbOFAxl+Lkt0UMglZizKEC1AxUu8zlj65KYatR5wBWMrh18TYzK/ ig6Y1t5YTWCO68bynorpNu9fqNFALX7bVl9/gybA0v0EhF+dgXmoUfRX 7ksMGgBvtfa2/Y9a3klXNLqkTszIQ4PEMVCjtryl19Be9/PkFeC9ITjg MRQsQhmB39eyMYnal+f3bUxKk4fq7cuEU0dbRpue4H/N6jPucXWOwiMA kTJhghqgy+o9FfIp+tR/emKao94/wpVXDcPf5B18j7xz2SvTTxiuqCzC MtsxnikZHcoh1j4g+Y1B8zIMIvrEM+pZGhh/Yuf4RwCBgaYCi9hpiMWV vS4WBzx0/lU=";
};
0
ответ дан 4 December 2019 в 23:55

Теги

Похожие вопросы