我得到了这个白色的实验室。它有自己的顶级域 (TLD) 名称whitelab.,并使用 ISC Bind9 9.15。
这使得在内部推出许多网络测试场景成为可能。
一个 DNSSEC 是如何签署这个定制的 TLD 的,这样它不仅可以在绑定whitelab视图/网络中提供安全的 DNS 查找,而且在白实验室之外的 DNSSEC 解析域名时恢复到 ISC 根密钥?显然,ICANN 不会添加这个whitelabTLD 供全世界使用(我们也不想这样做)。
一些基本的 ISC Bind9 v9.15 设置:
options {
...
dnssec-enable yes;
dnssec-validation yes; //// not 'auto', nor 'no'.
...
};
view whitelab {
...
trusted-keys {
whitelab. 257 3 14 "<key-value>";
};
...
};
在非 Internet(本地/whitelab)绑定视图中推出上述配置导致破坏了 Internet 范围绑定视图的 DNSSEC。
密钥是通过执行以下操作创建的:
dnssec-keygen -v3 -G -n ZONE -a ECDSAP384SHA384 whitelab.
dnssec-keygen -v3 -G -n ZONE -a ECDSAP384SHA384 168.192.in-addr.arpa.
这种“受信任的密钥”方法是否正确?