我有一个关于 DNSSEC 的初学者问题。我对 TLS 和加密技术有丰富的经验,想尝试这项新技术。我在 Google 上搜索了很多相关信息,但没有找到对我有用的信息。我认为在信息收集过程中,一个容易混淆的地方是“Debian 如何设置 DNSSEC”可能意味着“如何使用 DNSSEC 进行解析”或“如何使用 DNSSEC 保护您的域”。我正在搜索第二个。
我正在运行具有 root 权限的 Debian Squeeze 服务器,该服务器的域名以“.de”结尾(已由根区域签名)。此服务器上的网络接口使用服务器所在数据中心的网关 IP(DNS 解析器?)。
我的域名托管在 freedns.afraid.org ,我可以在此为我的域名添加 DNS RR。他们目前无法添加 DNSSEC RR,但我正在催促他们尽快支持此功能。;-)
我的简单问题是:如何在 Debian 上设置 DNSSEC?我应该问谁?
据我所知,我要做的就是dnssec-keygen在我的 Debian 服务器上运行,然后将密钥作为 DNSSEC RR 添加到我的 DNS 提供商。(每 30 天更改一次?)
我已经看过这个了http://www.isc.org/files/DNSSEC_in_6_minutes.pdf但看起来您必须是 ZONE 的所有者,所以我认为这不适用于我。谁需要签署我的域名?我的 DNS 提供商或我的区域 (DeNIC),还是我可以自己签署?
非常感谢您的帮助!
答案1
背景:DNSSEC 实际上是几个安全密钥和几个 DNS 记录,它们应该存在于您的正常 DNS 记录之外。它们位于两个位置:
- 您的域的权威 DNS 服务器。它保存DNS密钥,放射免疫分析研究所和NSEC/NSEC3记录。
- 您的权威 DNS 服务器父母域(“com” 域,例如 .com)。这成立DS记录。
私钥本身实际上可以存储在任何地方(甚至在签署所有需要签署的内容后就可以删除),但通常它们也会驻留在域权威服务器的某个地方。
现在,您的问题的答案取决于您的 DNS 提供商将如何实施 DNSSEC 支持。
在最简单的情况下(对您而言),DNS托管将完成所有工作(创建KSK和ZSK密钥,发布DNS密钥记录,签名并自动重新签名区域文件放射免疫分析研究所和NSEC/NSEC3记录,并准备DS关键的是你将发送给你的注册商)。
(如您所见,它不仅需要 DNS 托管的支持,还需要注册商的支持。ICANN 维护支持 DNSSEC 的注册商列表)
在这种情况下,你只需要复制DS您的 DNS 托管提供的密钥并将其发送给您的注册商(希望通过 Web 界面或您的注册商支持的任何其他方式)。
PS 如您所见,整个过程与您的计算机或您运行的任何操作系统(无论是 debian 还是 windows)都无关,但愿不会。