如果我有一个小型企业网络,其中有一些 Web 服务器和一个带有 DNSSEC 的 DNS,用于签署区域文件。我可以编辑区域文件并配置映射(名称 -> IP)以及任何其他映射(例如 TXT 记录等),然后签署文件。支持 DNSSEC 的客户端查询 DNS 并获取记录、验证签名等。
如果我的用户使用公共 DNS(如 8.8.8.8),我该如何在那里配置自己的 DNS TXT 记录。公共 DNS(如 8.8.8.8)是 DNS 服务器还是仅仅是解析器?公共 DNS 究竟是如何解析example.com使用 DNSSEC 在其 DNS 服务器中进行身份验证的?谁有签名密钥?example.com还是公共 DNS?
答案1
8.8.8.8 之类的公共 DNS 是 DNS 服务器还是仅仅是解析器?
它只是一个像 ISP 提供的解析器。它不会改变任何事物关于如何管理您的域名:记录仍然保存在您的“权威”服务器的区域文件中,并且您使用自己的密钥对该区域进行签名。
如果我的用户使用公共 DNS(如 8.8.8.8),我该如何在那里配置我自己的 DNS TXT 记录。
你不需要。由于 8.8.8.8 是一个解析器,它将遵循委托链(NS 记录),并从中获取记录你自己权威服务器。(与解析“google.com”等其他域名的方式完全相同……)
因此,如果域名是公共的(从注册商处购买)并且您的 DNS 服务器是公开可访问的,则不会发生任何变化。
当然,如果域名不是已委托 – 例如,如果它位于某个虚构的 TLD 下mycompany.lan– 那么公共解析器将无法看到它一点儿也不。因此,不要使用虚构的域名。
公共 DNS 如何解析使用 DNSSEC 在其 DNS 服务器中进行身份验证的 example.com?
对于常规 DNS 记录检索,请参见上文,并参阅大量现有文档。简而言之,解析器会从根区域开始跟踪 NS 记录链,直到找到您自己的服务器。
DNSSEC 验证非常相似:除了 NS 记录(指向下一个服务器)之外,每个委托还具有 DS 记录(具有下一个区域的公钥)。解析器或验证器再次遵循 DS 记录链。