我想知道在auto-dnssec环境中如何处理文件。
我当前的设置(非 DNSSEC)将区域文件放在 中/var/named/data。然后绑定服务器读取这些文件。
如果我启用自动签名,区域文件会改变吗?还是 bind 只会在内部保留已签名的区域?如果发生前一种情况,Puppet 可能不再是部署 DNS 区域的好主意。
答案1
编辑:此答案的先前版本是错误的。
如果我启用自动签名,区域文件会改变吗?
是的。BIND 将更新您在配置“动态”样式中指定的文件。这意味着整个文件通常会被重写,丢失任何“$INCLUDE”指令,转换为“标准”格式等。
使用手动签名文件时,原始区域文件不会更改。您不能对手动签名文件使用动态更新,因此需要权衡。通常,您要么手动维护原始区域文件并使用手动签名,要么使用 nsupdate 维护原始文件并让 BIND 自动签名区域。附注:上次我查看时,BIND 无法自动生成 ZSK 密钥,因此您仍然必须手动轮换这些密钥(或编写该过程的脚本)。
答案2
inline-signing您可以使用BIND9.9 中添加的功能执行后者(让 BIND 将签名区域与您编辑的未签名区域分开维护,并在您编辑文件时更新它们) 。
目前仅记录在https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.html