在 DNSSEC 部署中,ZSK 何时由 KSK 签名?

在 DNSSEC 部署中,ZSK 何时由 KSK 签名?

我在网上看过很多关于如何部署 DNSSEC 的教程。简而言之,步骤如下:生成密钥(ZSK 和 KSK)、签名区域。我用来签名forward.com区域文件(用于com区域)的命令是:

dnssec-signzone -o com -S forward.com

我得到的结果是:

Verifying the zone using the following algorithms: RSASHA256.
Zone fully signed:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
                      ZSKs: 1 active, 0 stand-by, 0 revoked

KSK 的目的是签署 ZSK。当发生这种情况时?当我执行区域签名时,它会自动签名吗?

请给我解释一下。我需要 KSK 签署我的 ZSK。该怎么做?

答案1

ZSK 和 KSK 在同一区域中作为常规“DNSKEY”记录发布,因此当整个区域被签名时,它们会像任何其他记录一样被签名。唯一的特殊逻辑是:

  • 如果是 DNSKEY、CDNSKEY 或 CDS 记录(或者该区域仅限 KSK),则该记录将使用 KSK 进行签名ZSK。(这意味着密钥由其自身签名,ZSK 由 KSK 签名,等等。)

  • 如果是不同的记录类型,则使用 ZSK 进行签名。

这是程序自动执行的一部分( BIND9 源代码中的dnssec-signzone功能, .)signset()bin/dnssec/dnssec-signzone.c

相关内容