我最近将 DNSSEC 添加到我的几个域中,我注意到每个域上的 DNSSEC 密钥标签始终为2371
。如果它永远不会改变,那么要求它有什么意义?(或者它会改变吗?什么时候?),为什么它具体是2371
?
答案1
你的问题不清楚。是谁要求的?
所谓的“密钥标签”是RRSIG
记录中用于识别用于签署记录并生成此RRSIG
记录的密钥,请参阅 RFC 4034 §3。通常,在区域中的给定时间点只有一个区域签名密钥 (ZSK),因此所有 RRSIG 记录确实具有相同的密钥标签。
如果您使用的是同一个密钥,则密钥标签是相同的。密钥标签或密钥 ID 引用密钥。这不是一个好的引用,因为存在冲突(空间按定义很小,只有 2 个字节,因此理论上有 65536 个值,但实际上由于算法和实现中的错误,实际值不到一半),这只是为了让系统管理员的工作更轻松。
您的值2371
只是众多值中的一个随机值,它没有特定的含义,但是您在问题中完全没有给出任何背景信息...您在谈论哪些域?您是权威的名称服务器运营商还是只是在查看其他人的域名?您是否设置了 DPS 来了解密钥、密钥轮换、签名等?
您可以使用相同的密钥配置多个域,但不建议这样做,因为您的所有域将共享命运,需要同时更改相应的 DS 记录(如果密钥是 KSK)等。
即使对于单个域,您的 ZSK 也应该定期更改(通常每月或两个月是频繁的值),然后RRSIG
会出现引用新密钥的新记录,因此会带有新的密钥标签。
唯一很少改变的关键标签 (id) 是根区上的标签。它们不是从不改变,而是很少改变。它们一年前就变了。但它们可能不会很快再变。它们目前是 22545 和 20326:
$ dig +multi . DNSKEY
; <<>> DiG 9.11.5-P1-1ubuntu2.5-Ubuntu <<>> +multi . DNSKEY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41551
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;. IN DNSKEY
;; ANSWER SECTION:
. 22845 IN DNSKEY 256 3 8 (
AwEAAbPwrxwtOMENWvblQbUFwBllR7ZtXsu9rg/Ldykl
Ks9gU2GQTeOc59XjhuAPZ4WrT09z6YPL+vzIIJqnG3Hi
ru7hFUQ4pH0qsLNxrsuZrZYmXAKoVa9SXL1Ap0LygwrI
ugEk1G4v7Rk/Alt1jLUIE+ZymGtSEhIuGQdXrEmj3ffz
XY13H42X4Ja3vJTn/WIQOXY7vwHXGDypSh9j0Tt0hknF
1yVJCrIpfkhFWihMKNdMzMprD4bV+PDLRA5YSn3OPIeU
nRn9qBUCN11LXQKb+W3Jg+m/5xQRQJzJ/qXgDh1+aN+M
c9AstP29Y/ZLFmF6cKtL2zoUMN5I5QymeSkJJzc=
) ; ZSK; alg = RSASHA256 ; key id = 22545
. 22845 IN DNSKEY 257 3 8 (
AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTO
iW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN
7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5
LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8
efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7
pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLY
A4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws
9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
) ; KSK; alg = RSASHA256 ; key id = 20326
如果您在此区域中请求 RRSIG 记录,您会发现引用了以下其中一个 ID:
$ dig com. NS +dnssec +multi @a.root-servers.net
[...]
com. 86400 IN RRSIG DS 8 1 86400 (
20191113170000 20191031160000 22545 .
UEC85qqrUaAML/8TSKs6971lvQAI0jCFAEamLCV2e5N/
wnnY2xsUF3TEWBfBB7VByxpRzzB87NuWNGh9jf6wlx7p
QQ/FidKxV+lk3LGDb6aqfM9ACRKlSm6xQb9k4Y21A2aO
lDsHXdfJaKsUvw7AHS6WqBDBsh6AKuDCL5zm/E03UP2A
8cDhVr1yNnvcY48il3JLAYsSMRviID/Q6lND446za6H3
w2LiqaMoXg4s/pVj0uV8Sc9G4csWesgXXthQSy3nBe77
DYca7vt89uN2eYFlTwTnCVYTkkNC67L0B95NRqRhMISA
MgdoFCcfwAgPpWeWLEcd72EuJ/IWBWBSgA== )
这22545
是密钥标签或此 RRSIG 记录,即用于创建它的密钥。