我在网上看过很多关于如何部署 DNSSEC 的教程。简而言之,步骤如下:生成密钥(ZSK 和 KSK)、签名区域。我用来签名forward.com区域文件(用于com区域)的命令是:
dnssec-signzone -o com -S forward.com
我得到的结果是:
Verifying the zone using the following algorithms: RSASHA256.
Zone fully signed:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
ZSKs: 1 active, 0 stand-by, 0 revoked
KSK 的目的是签署 ZSK。当发生这种情况时?当我执行区域签名时,它会自动签名吗?
请给我解释一下。我需要 KSK 签署我的 ZSK。该怎么做?
答案1
ZSK 和 KSK 在同一区域中作为常规“DNSKEY”记录发布,因此当整个区域被签名时,它们会像任何其他记录一样被签名。唯一的特殊逻辑是:
如果是 DNSKEY、CDNSKEY 或 CDS 记录(或者该区域仅限 KSK),则该记录将使用 KSK 进行签名和ZSK。(这意味着密钥由其自身签名,ZSK 由 KSK 签名,等等。)
如果是不同的记录类型,则使用 ZSK 进行签名。
这是程序自动执行的一部分( BIND9 源代码中的dnssec-signzone功能, .)signset()bin/dnssec/dnssec-signzone.c