我正在为我的域名使用 DNSSEC,我的 DNS 服务器是双宿主的(对可以在公共接口上查询的内容有适当的限制),既涵盖我的公共域名,也涵盖我在 LAN 上使用的私有顶级域名 (.loc)。
我正在努力弄清楚如何将 .loc 域的 DS 记录添加到我的 bind9 配置中。因为它是顶级域,所以通常会列出根服务器。
我可以在 $ORIGIN 语句之前将其添加到我的区域文件中吗?
答案1
您实际上无法DS为不属于树的部分添加记录,因为这样的区域没有适当的父/子关系。
应该可以使用trusted-keys在您的内部验证解析器上覆盖 DNS 中指定的密钥(或缺少的密钥)。
但值得注意的是,随意选择一个顶级域名并在内部使用并不是一个好的做法。尤其是在当今,闸门已经打开,新的公共顶级域名不断被注册。