BIND 9
BIND 9
BIND 9
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
CHAPTER 4. 高级DNS特征 4.9. DNSSEC,动态区,和自动化签名<br />
complete flag (octet 5)<br />
只有被标志为“complete”的记录才能通过动态更新被删除。删除其它私有类型记录的企图将被默默地<br />
忽略掉。<br />
如果第一个字节为零(这是一个保留的算法号,从来不会出现在一个DNSKEY记录中),这个记录指示<br />
正在进行转换为NSEC3链的过程。其余的记录包含一个NSEC3PARAM记录。标志字段基于标志位表明<br />
要执行哪种操作。<br />
0x01 OPTOUT<br />
0x80 CREATE<br />
0x40 REMOVE<br />
0x20 NONSEC<br />
4.9.5 通过UPDATE轮转DNSKEY<br />
通过动态更新执行密钥轮换是可行的。你需要为新密钥添加K*文件,这样named就能够找到它们。然后<br />
你可以通过动态更新添加新的DNSKEY资源记录集。然后将引起named使用新的密钥对区进行签名。当<br />
签名完成,将更新私有类型记录,使最后一个字节为非零。<br />
如果这是一个KSK,你需要将新KSK通知上级域和所有的信任锚仓库。<br />
然后,你应该在删除旧DNSKEY之前等待区中最大TTL的时间。如果更新一个KSK,你还需要等待上级<br />
区中的DS资源记录集更新和其TTL失效。这就确保当你删除旧DNSKEY时,所有的客户端能够验证至少<br />
一个签名。<br />
可以通过UPDATE删除旧的DNSKEY。需要小心指定正确的密钥。在更新完成后,named将会清理由旧<br />
密钥生成的所有签名。<br />
4.9.6 通过UPDATE轮转NSEC3PARAM<br />
通过动态更新增加新的NSEC3PARAM记录。当生成了新的NSEC3链之后,NSEC3PARAM标志字段被<br />
置为零。在这时,你可以删除旧的NSEC3PARAM记录。旧的链将会在更新请求完成之后被删除。<br />
4.9.7 从NSEC转换到NSEC3<br />
要 做 这 个 , 你 只 需 要 添 加 一 条NSEC3PARAM记 录 。 在 转 换 完 成 后 ,NSEC链 将 被 移<br />
除,NSEC3PARAM记录有一个0标志域。NSEC3链将在NSEC链被去掉之前生成。<br />
4.9.8 从NSEC3转换到NSEC<br />
要做这件事,使用nsupdate删除所有带有一个零标志字段的NSEC3PARAM记录。在NSEC3链被删除之<br />
前先生成NSEC链。<br />
4.9.9 从安全转换为不安全<br />
要使用动态DNS将一个签名的区转换为未签名的区,需要使用nsupdate删除区顶点的所有DNSKEY记<br />
录。所有签名,NSEC或NSEC3链,以及相关的NSEC3PARAM记录都会被自动地删除掉。这个发生在<br />
更新请求完成之后。<br />
这要求named.conf中的dnssec-secure-to-insecure选项被设置为yes。<br />
此外,如果使用了auto-dnssec maintain区命令,应该将其去掉或者将其值改为allow(或者重签名)。<br />
32