如果我有权威 DNS 服务器,并且部署了 DNSSEC,那么您可能知道,存在密钥签名密钥 (KSK) 和区域签名密钥 (ZSK)。将 KSK 提供给更高级别的 DNS 是强制性的吗?
如果我的权威服务器是实验性的并且它是唯一的 DNS(没有更高级的 DNS),而我想要实施 DNSSEC,该怎么办?
答案1
不。大多数支持 DNSSEC 的解析器都允许您随时指定信任锚,而不仅仅是.
。(不过,它们中的许多都在 DS 记录中进行配置格式。
例如,在 BIND 中,您可以手动将 DNSKEY 添加为trusted-keys{}
入口。