只是想了解bindkeys-file绑定配置中与 DNSSEC 扩展相关的指令。这是公钥吗?它是否以与数字签名相同的方式对响应进行签名?
答案1
它实际上是受信任密钥的替代存储库,如果没有从根区域到您自己的区域的完全签名路径,则可以在其中提交其区域密钥。功能性 DLV 注册表是dlv.isc.org.默认情况下,根区域密钥和dlv.isc.org密钥包含在选项指令中/etc/named.iscdlv.key作为属性值。您可以在或bindkeys-file中自动找到它。named.confnamed.options
从/usr/share/doc/bind-9.7.3/arm/Bv9ARM.pdf:
bindkeys-file用于覆盖由 name 提供的内置可信密钥的文件的路径名。有关详细信息,请参阅 dnssec-lookaside 和 dnssec-validation 的讨论。如果未指定,则默认为 /etc/bind.keys。