DNSSEC 部署:委派签名者(DS)是强制性的吗?

DNSSEC 部署:委派签名者(DS)是强制性的吗?

如果我有权威 DNS 服务器,并且部署了 DNSSEC,那么您可能知道,存在密钥签名密钥 (KSK) 和区域签名密钥 (ZSK)。将 KSK 提供给更高级别的 DNS 是强制性的吗?

如果我的权威服务器是实验性的并且它是唯一的 DNS(没有更高级的 DNS),而我想要实施 DNSSEC,该怎么办?

答案1

不。大多数支持 DNSSEC 的解析器都允许您随时指定信任锚,而不仅仅是.。(不过,它们中的许多都在 DS 记录中进行配置格式

例如,在 BIND 中,您可以手动将 DNSKEY 添加为trusted-keys{}入口。

相关内容