domain-name-system – 使用DNSSEC管理多个相等的区域

概述我运行一个权威的名称服务器(BIND),我有几十个域具有相同的区域文件,即它们都使用/etc/bind/db.default3. 我正在考虑在我的服务器上部署DNSSEC,但到目前为止,我在其上找到的所有文档都要求我为每个区域执行许多手动步骤(例如生成KSK和ZSK). BIND 9.9的内联签名使一些更容易,但不是一切. 那么,我可以在内联签名模式下为多个域使用相同的KSK吗？如果是这样,我是否 我运行一个权威的名称服务器(BIND),我有几十个域具有相同的区域文件,即它们都使用/etc/bind/db.default3.

我正在考虑在我的服务器上部署DNSSEC,但到目前为止,我在其上找到的所有文档都要求我为每个区域执行许多手动步骤(例如生成KSK和ZSK). BIND 9.9的内联签名使一些更容易,但不是一切.

那么,我可以在内联签名模式下为多个域使用相同的KSK吗？如果是这样,我是否可以在这些域的DS记录中加入相同的值？为什么我必须管理ZSK – 不应该BIND,考虑到KSK,能够为我处理这个问题吗？

解决方法 您可以为多个域使用相同的KSK,但这不是一个好主意,因为它意味着如果此密钥出现问题(加密,您丢失了私钥,或者您忘记更新它等)会影响多个域名. 对于给定密钥,您不能在多个区域中使用相同的DS,因为DS值是根据密钥和域名计算的！ 总结

以上是内存溢出为你收集整理的domain-name-system – 使用DNSSEC管理多个相等的区域全部内容，希望文章能够帮你解决domain-name-system – 使用DNSSEC管理多个相等的区域所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。