我正在尝试使用 dnssec-keygen 生成的密钥设置 ddns(动态 dns)。我使用了-n USER“用户名”,认为这会将密钥的使用限制为“用户名”。但是,任何拥有密钥的人都可以进行 ddns 更新,这不是我想要的。
我想了解 dnssec-keygen 中 USER 所有者类型的重要性。
问问题
407 次
1 回答
0
用户名类型用于指定用于授权用于电子邮件的传输层安全性 (TLS) 的证书的证书。这个想法是繁忙的电子邮件服务器无法负担通过其证书颁发机构追踪和验证 TLS 证书所需的额外处理。通过写入 DNSSEC 记录,邮件服务器只需要进行一次 DNS 查找来验证连接。
-n 选项指定如何使用生成的密钥。nametype 可以是 ZONE、HOST、ENTITY 或 USER,表示密钥将分别用于对区域、主机、实体或用户进行签名。
-p 选项将生成的密钥的协议值设置为协议值。对于 USER 类型的密钥,默认值为 2(电子邮件),对于所有其他密钥类型,默认值为 3(DNSSEC)。
由于某些原因尚不完全清楚,他们决定将电子邮件和其他用途归为 USER 名下。
DANE的维基百科页面是一个好的开始。
标题相当简洁的SMTP 安全性通过基于机会性 DNS 的命名实体身份验证 (DANE) 传输层安全性 (TLS) RFC 7672 就像它的名字所暗示的那样难以理解!但它确实有一些有用的深入概念,并在介绍中很好地解释了基本问题。
不幸的是,DNS 没有您正在寻找的那种粒度。如果您给了某人更新的密钥,那么他们就可以更新,DNS 没有任何更复杂的过程来限制。
于 2016-03-11T18:04:08.350 回答