问题标签 [dnssec]

我正在使用 Mac OS X 10.10.3 Yosemite。最近从 Snow Leopard (10.6.8) 升级到 Yosemite。

步骤 A

在我的 MacBook 上，我登录到一个管理员类型的特权帐户。我从 Apple App Store 安装了最新的免费 XCode。使用 XCode，我还安装了命令行工具等。

步骤 B

我从https://brew.sh/安装了 Homebrew 。这是我在终端中运行的命令行代码，来自 Homebrew 网站：

上面的脚本检查是否存在各种必要的软件和设置，并显示（终端窗口内的信息和状态，打开）需要获取或执行哪些其他命令或工具。我跟着那些。

步骤 C

完成 Homebrew 和相关安装步骤后，我通过终端中的命令行使用该工具安装openssl& ：unboundbrew

步骤 D

我重新启动了一次 MacBook，然后尝试了dig以下命令。他们没有在 DNS 查询结果中显示ad标志，这表明 DNSSEC 认证的 DNS 解析仍然无法正常工作并被禁用！

192.168.10.1 是我的（互联网路由器）网关，用于连接到互联网的主要网络接口/适配器。我的网络适配器当前使用 192.168.10.50，一个基于动态（非固定）DHCP 的 IP 地址。

不幸的是，https://unbound.net/上的开发人员没有为 Mac OS X 提供独立的 Unbound.pkg或.dmg安装程序文件。他们也没有积极开发 DNSSEC-Trigger 应用程序。在 Snow Leopard 中，我只使用了 DNSSEC-Trigger 捆绑包的未绑定部分。在遵循邮件列表存档中显示的提示后，我能够禁用 DNSSEC-Trigger 部分，并保持 Unbound 部分运行。这样，我就不需要安装任何 XCode 命令行工具或 Homebrew。

我现在应该怎么做才能让 MacBook 上的所有应用程序都可以为所有应用程序/客户端使用 Unbound DNSSEC 解析器？我希望 Unbound 的解析器在 127.0.0.1 端口 53 上侦听 DNSSEC 和 DNS 查询。

我正在阅读与 DNSSec 相关的 RFC 4035，并且有一个术语让我难以理解，如下所示 - Zone Apex -，也许我听起来像个菜鸟，但非常欢迎对此提供任何帮助。谢谢！！

DPDK 似乎为某些应用程序提供了令人印象深刻的性能提升，但我认为服务器不会像路由器/交换机之类的东西那样受益。

我还没有看到有人提到这件事正在完成或正在研究，所以我只是想知道它是否值得研究。

As per RFC 2845 the TSIG RR key name should be in the Canonical wire format. What does canonical wire format exactly mean? I have gone through the RFC 2523 and it states that "For purposes of DNS security, the canonical form for an RR is the wire format of the RR with domain names (1) fully expanded (no name compression via pointers), (2) all domain name letters set to lower case, (3) owner name wild cards in master file form (no substitution made for *), and (4) the original TTL substituted for the current TTL."

For example if the keyname is abc.def.shared.key, will it be "\003abc\003def\006\003key\000" in the canonical wire format ?

我正在使用 Python getdns API。

我正在使用扩展：

这意味着我被告知响应是否dnssec_status通过回复字典中的选项受到 DNSSEC 保护。（这results.replies_tree是一个回复字典数组。）

如果没有名称（例如results.status==getdns.RESPSTATUS_NO_NAME），则查询可能没有回复。

在这种情况下，我如何知道RESPSTATUS_NO_NAME响应是否通过 DNSSEC 身份验证？

我现在正在研究 WMbind，并且正在制作一个名为 'signedzone' 的新模块。而且，我向 wmbind 数据库添加了一个表，它是一个键表。那么，正如上面提出的问题，我们是否必须在使用密钥签署区域之后存储密钥（在这种情况下，我指的是 KSK 和 ZSK）？

我之前尝试过删除那些使用过的密钥，但它对签名区域没有任何作用。

但是，我只需要知道删除使用过的密钥是否会影响使用它们签名的区域。

先感谢您

我需要从随机网站验证 DANE 证书。

我已经尝试过https://www.bouncycastle.org/java.html（Java的 Bouncy Castle Crypto APIs），并且有一个接近我需要的示例：https ://github.com/bcgit/bc- java/blob/master/pkix/src/test/java/org/bouncycastle/cert/test/DANETest.java但我不明白他们从哪里获取randomCert以及第二个if中比较的内容。

我正在尝试使用 dnssec-keygen 生成的密钥设置 ddns（动态 dns）。我使用了-n USER“用户名”，认为这会将密钥的使用限制为“用户名”。但是，任何拥有密钥的人都可以进行 ddns 更新，这不是我想要的。

我想了解 dnssec-keygen 中 USER 所有者类型的重要性。

我正在尝试针对从此处Kjqmt7v.crt下载的信任锚 ()验证根密钥签名密钥 (KSK) 。我正在使用该模块获取 root KSK。Net::DNS

我目前对如何验证两者是否相同感到非常困惑。我试图将.crt文件转换为Keyset对象，但会导致错误。

这是我的代码。

这是错误

我很困惑，因此无法提供任何正确的代码，因为我不知道如何开始。指出我正确的方向会非常有帮助。

我想要一种方法来验证我从根 DNS 服务器获得的 KSK 的信任锚。如果有任何其他方法可以做到这一点，请更新我。

我正在构建一个自定义 DNSSEC 服务器，该服务器将根据其子域响应查询。例如，查询

abc123.example.com 将响应 0.0.0.0

def456.example.com 将响应 1.1.1.1

我正在使用ARSoft Tools生成对 DNS 查询的响应。我的问题涉及到，我需要做什么来生成需要与响应一起使用的 RRSig 记录？这是我在代码中生成记录的方式：

我需要如何以及需要收集什么以将三个记录中的每一个放入字节数组中（当前设置为 byte[] {1,2,3}）？DS 记录请求摘要，DnsKey 请求公钥，而 rrsig 请求签名。