BIND 9
BIND 9
BIND 9
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
CHAPTER 4. 高级DNS特征 4.9. DNSSEC,动态区,和自动化签名<br />
注意<br />
本例中列出的所有密钥都是无效的。特别是,根密钥是无效的。<br />
当DNSSEC验证被打开并正确地配置后,解析器将会拒绝来自签名的安全区的未通过验证的响应,并返<br />
回SERVFAIL给客户端。<br />
响应可能因为以下任何一种原因而验证失败,包含错误的、过期的、或无效的签名,密钥与父区中<br />
的DS资源记录集不匹配,或者来自一个区的不安全的响应,而根据它的父区,应该是一个安全的响应。<br />
注意<br />
当验证者收到一个来自一个拥有签名父区的未签名区的响应,它必须向其父区确<br />
认这个是有意未签名的。它通过验证父区没有包含子区的DS记录,即通过签名<br />
的和验证了的NSEC/NSEC3记录,来确认这一点。<br />
如果验证者能够证明区是不安全的,其响应就是可以接受的。然而,如果不能证<br />
明,它就必须假设不安全的响应是伪造的;它就拒绝响应并在日志中记录一个错<br />
误。<br />
日志记录的错误为“insecurity proof failed”和“got insecure response; parent<br />
indicates it should be secure”。(在<strong>BIND</strong> 9.7之前,日志记录的错误为“not<br />
insecure”。这是指区,而不是指响应。)<br />
4.9 DNSSEC,动态区,和自动化签名<br />
作为<strong>BIND</strong> 9.7.0的一个特性,可以将一个动态区从不安全转变为签名的区并备份。一个安全的区可以使<br />
用NSEC或NSEC3链。<br />
4.9.1 从不安全转换到安全<br />
有两种方法可以将一个区从不安全转换为安全:使用动态DNS更新,或者auto-dnssec区选项。<br />
对这两种方法,你都需要配置named,使其能够看到K*文件,而后者包含签名区时会用到的公钥和私<br />
钥部份。这些文件由dnssec-keygen生成。你可以将密钥文件放到在named.conf中所指名的密钥目录<br />
中:<br />
zone example.net {<br />
type master;<br />
update-policy local;<br />
file "dynamic/example.net/example.net";<br />
key-directory "dynamic/example.net";<br />
};<br />
如 果 生 成 了 一 个KSK和 一 个ZSK DNSKEY密 钥 , 这 个 配 置 将 使 区 中 所 有 的 记 录 被ZSK签 名 , 并<br />
使DNSKEY资源记录集被KSK签名。作为初始签名过程的一部份,还会生成一个NSEC链。<br />
30