问题标签 [dnssec]

我已按照此处概述的步骤生成签名区域文件：https ://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server-- 2

在该文件的生成中，它给了我 2 个以 .private 和 .key 作为文件类型结尾的私钥和公钥文件，私钥文件的格式如下所示：

我想以某种方式将这些文件放入 BouncyCastle 包中的 AsymmetricCypherKeyPair 对象中，以便可以像这样使用它：

有谁知道 BouncyCastle 包中是否支持导入这种类型的公钥/私钥文件？

谁能简单地向我解释一下 DNSSEC 是如何工作的？

我已经可以理解（但我不知道它是否完全正确）是：

DNS 是早期 Internet 中创建的旧协议，因此存在缺陷（例如，没有身份验证）。它允许攻击作为中间人和缓存中毒。

解决方案？DNSSEC 的创建。一种使用公钥加密技术并为 DNS 查询提供身份验证和完整性的协议。它使用从根 DNS 服务器开始的信任链工作 - 这里的“信任”意味着您信任根服务器的公钥。

在区域级别，该过程使用一对或多对密钥进行工作。首先，区域服务器拥有 ZSK（区域签名密钥）并使用私有 ZSK 对查询的数据进行签名。之后，它将公共 ZSK、数据 (RRSET) 和签名数据 (RRSIG) 发送到 DNS 解析器。但现在你必须信任公共 ZSK。解决方案？要拥有另一个密钥，KSK（密钥签名密钥）。该区域对包含公共 KSK 和公共 ZKS 的新集合进行签名。在它发送新集、签名集和公共 KSK 之后。它保证了区域内的安全。

但是 DNS 需要的整个递归过程呢？我们如何确保它也是安全的？它是通过使子服务器散列其公共 KSK 并将其发送给其父服务器来完成的，父服务器将其存储为 DS（委托签名）。做的比较早，不知道怎么做。这样，如果你信任父亲并且父亲有孩子DS，如果你对孩子public KSK进行hash，结果等于父亲DS，你就可以信任孩子。这创建了整个信任链。该链的安全入口点位于根中。您假设您可以信任根的公钥。

这就是我认为我对 DNSSEC 的理解，如果有人可以更好地解释，修复我写的内容，或者提供更多您认为了解 DNSSEC 至关重要的信息，我将不胜感激。

此外，如果有人可以向我解释 DNSSEC 架构和密钥管理，我也会很高兴。

非常感谢！！！！！

我正在构建一些网络分析工具，但在检查 NodeJS 应用程序中的 DNSSEC 合规性时遇到了一些困难。dns标准库中的模块似乎不接受任何 DNSSEC 记录类型。我正在尝试查找rrsig, ds, nsec，nsec3但文档并未将它们列为要解析的有效 rrtypes。用NodeJS可以做到这一点吗？

使用 DNSSEC 和 PowerDNS 我正在尝试使用 Python 解析私钥格式 1.2，以便获得相应的公钥。

使用 pydnssec ( https://github.com/tomas-mazak/pydnssec ) 我能够生成私钥。

它们的键如下所示：

Private-key-format: v1.2 Algorithm: 8 (RSASHA256) Modulus: s3cHXKgqP4JY6yQSGRVftnz+omoBfwDbc7BoDGzQsMVa0eQpASVb0QryPfejfG3K/F9tEPzYgeMMjzwlDuHnK46DGS7WynKDMUPYDYSb8dvRGyD2Ef027ReAB5OYstSnIXRbyj+NzpaF1V0R3Xlg2mXnHO2UZ+PjmDKx+4353D/pUyqoVoNvZi4AESnWBC11ZlNsaxX5ILy/RlYLxQ7Kobh3pfWtHiXPqnyAy1sJFaCyVCGng4a9lUzfMRIbEYATSoDIfNN8rUMMU2c9eUax1Lwp370AbuTycVVXQYafwoRmMN/R9YmYAFHdmwsnWe+yv/ErDGYyoYGn/W0P44UpUQ== PublicExponent: AQAB PrivateExponent: Xiw5qr972/O0YT9+V7dFkGcq32MtAc4bWivZjZuULw6Ax98oPTezZJCP6UCHg4XBnIkenGlx20afkpIHCDY2rj6MQKy5fWZ1vWZSe1V414N3yPqU5X+wUN2iC1fCKyU3xnBeslSDP0LxW7MI6uUEk9YhXqa014dYKMeBafVohdAKiPWnxrhTFafDqrYj0ltt76y+ffUK7tuTvzkaCB+MQawGG96nf4Y9VaFHl2yt1jYcL7Bd7QpWmw0snCpYroeIOStce2l9mcgZeedPzp2hL0xWdYMoiqZgcc+lkt8g8jBkHd9lUKykvtaiQ3s9egGtMlOl+ULt/MGlSE6VbHTsoQ== Prime1: y4xJLcfVptBD/Mr8rMi70zlbS01VomMYi2GBsROPmwWN8gVTY3yjo7VcBFTMegW0nfVNIjwmCKWQ6GL8s54Zf8qSG2cpUGQZrNoym7efzeGPYyg4THzg7XU3+vEFlt7FVjLZ30UeKEMGVNAf6A9BADvh1XNR7/3VvzAOSr8JQ20= Prime2: 4bYGrbHrCNATTWm+0l8i2ACsGEhKOa4YMOU5pKm2p/DoI0cfDd5yfPqwwdYPyufQbfQMiEaWM8HlRBvSZs3YD+n31bkmjhsOOQCyI+iHX7jkScM5JUodyFRbAG+743dWJOSkiqLTwuhuK66TZo6fdTjDxnjt2s/7KH5gDW5e6vU= Exponent1: KM38tZLD/+bsWjcPJEwxawyqgpQEQMOA3iAz8Z2sQjWA2S28I8uOunjW839UZnnSVYAhcGWCcmVOgWempRNipT2kwJ2TqKwIgaBUWOccwBchuY0MjDjUloXTLRk4N6B9CuSyzJF8lDGriUEXxFuaekOG6FVv7Z6DRQqLMuzNHJk= Exponent2: KM38tZLD/+bsWjcPJEwxawyqgpQEQMOA3iAz8Z2sQjWA2S28I8uOunjW839UZnnSVYAhcGWCcmVOgWempRNipT2kwJ2TqKwIgaBUWOccwBchuY0MjDjUloXTLRk4N6B9CuSyzJF8lDGriUEXxFuaekOG6FVv7Z6DRQqLMuzNHJk= Coefficient: Pohsb1j3g9Em+luwFMyddO7jKtdP76kdQx+xqDz6ctOgGmyjKx/Fu6m2CMGc3uIBOfKNEb6zLpKHvetzhKlDGNb24ca8S0WWNCW3wutZ32GvR8gpTHVQraAbOhPEDVSk1QuDAOWI/jEkf7OGuPUj8/GmLGU1rflYvNr1nLrD3yI=

我正在尝试从字符串/文件加载新生成的密钥并提取公钥。

结果将是这样的：

257 3 8 AwEAAepo5mc4fDlpcaGx9+hTNSZwC1LIGyPtK8VjdS0wfAaQa8FAwtrVXO9aQRYjKrUnHEtE52olCbJMlVygDllb3d8UcKyWRo+gm7YO02f/ckhqKghM9LVUWxfsxFWI4jA7zJ9I8+ACc3WN9PRAb7dHTLctjTejJ1/DQi6KoWidLHqTKoaOo8FMfCZrCc9XJ3DqCwEPIQQwe2SdpWwAByouQH4OBdaVx6nu9uHvroKsU/kRxW18vySWk+LnFjg0hI1UId/6Ud/3fS7RW/V6B+wJFd9XdfZtfAJDIsVQiBfvm0HguBIB6nMfSEBnuuEb/dyUVadtWTHtp8fY/+Y/2XY/0bM=

python Crypto 库似乎不支持这一点。关于如何做到这一点的任何想法？

key = Crypto.PublicKey.RSA.importKey(externKey=keystring)

给我：

Traceback (most recent call last): File "pubkey.py", line 14, in <module> key = Crypto.PublicKey.RSA.importKey(externKey=keystring) File "/usr/lib/python3/dist-packages/Crypto/PublicKey/RSA.py", line 682, in importKey raise ValueError("RSA key format is not supported") ValueError: RSA key format is not supported

我遵循了https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server--2中的 DNSSEC 教程

这是我的区域文件：

在 godaddy 中，我创建了两个主机（ns1.example.net 和 ns2.example.net），都链接到同一个 ip VPS_IP。该区域在 ip VPS_IP 的 VPS 中配置。几乎一切正常，我可以成功查询 A 和我的区域的记录，这些记录正确地指向所需的 IP。我检查了（mxtoolbox.com），使用'dns：example.net'，一切都很好，除了一个警告说名称服务器是同一子网的一部分（预计因为它们是相同的VPS_IP）。但是，当我使用 (mxtoolbox.com) 检查 dns 密钥 (dnskey:example.net) 时，我收到以下消息：检测到循环！我们被转回“VPS_IP”。使用 mxtoolbox.com 的所有其他查询都很好。另外，当我尝试在 godaddy 中添加 DS 记录时，出现以下错误：

这两个错误是否相关？从 mxtoolbox 获取该错误时，我的区域文件中可能有什么问题？

我有机会配置 IDN c​​cTLD。我已经配置了 DNS 服务器并且它工作正常。现在我有一个挑战来保护 DNSSEC 的 dns 服务。我通过自签名配置了 DNSSECC。但是现在我不明白应该在哪里以及如何输入 DS 记录。

I know that DNSSEC has been widely implemented since 2010. For Authority name servers, it depends on the admin whether he wants to support DNSSEC or not. However, I would like to know whether or not all root name servers, and all TLD servers support DNSSEC?

How can I use tool like dnspython or dig to check DNSSEC support at root name servers, and TLD servers, or I do not need to check because all of them support DNSSEC already?

我将递归 DNS 查询发送到根名称服务器、TLD 服务器和stanford.edu.

根响应：

顶级域名回应：

当局回应：

在所有 3 个级别上，我都可以看到支持 DNSSEC。我如何使用 dnspython 和响应消息中的信息来验证响应消息是否安全且合法？

I have a .leg.br domain It's a government dns domain, in this domain it is mandatory to use dnssec, but they told me I need to configure dnssec in my server to the domain works, main question is: How to enable dnssec on a vps hosting or via cpanel? How do I get DS.NAMESERVER.COM insted of NS.NAMESERVER.COM ?

Due to internal bureaucracy they did't accepted the cloudeflare DNSSEC option because it need to be pointed without dnssec first to next enable dnssec The domain it's already with dnssec enable but they don't give me ownership of the domain they don't even allow me to edit nameservers and things like that, what they told me is that I need to configure DNSSEC in my server and send them the Authoritative records. so this way they will put records in the domain that's the question , How can I enable DNSSEC in my vps. or create a DNSSEC server in my vps?

我们正在尝试决定使用哪种 DNS 托管解决方案。今天，我们使用 Power DNS，我们希望迁移到托管 DNS 解决方案。对我们来说最好的解决方案是为此使用亚马逊的 Route 53。我们被要求将 DNSSEC 用于我们的 DNS 解决方案，我一直在尝试了解 Amazon 的 DNS 支持什么以及不支持什么。

亚马逊的网站说：

Amazon Route 53 支持使用 DNSSEC 进行域注册，但不支持使用 DNSSEC 进行 DNS 服务。如果您要为注册到 Amazon Route 53 的域配置 DNSSEC，则必须使用其他 DNS 服务提供商。

http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html

谁能解释这意味着什么？特别是支持和不支持的内容，以及使用另一个 DNS 服务提供商为注册到 Route 53 的域意味着什么。