No caso de DNSSEC, quando o ZSK é assinado pelo KSK?

Navegue suas respostas
1

Eu examinei muitos tutoriais on-line sobre como implantar o DNSSEC. Em poucas palavras, os passos são: gerar chaves (ZSK e KSK), assinar zona. O comando que usei para assinar meu arquivo forward.com zone (para com zone) é: 

dnssec-signzone -o com -S forward.com

O resultado que obtive é: 

Verifying the zone using the following algorithms: RSASHA256.
Zone fully signed:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
                      ZSKs: 1 active, 0 stand-by, 0 revoked

O ponto do KSK é assinar o ZSK. Quando isso acontece? ele é assinado automaticamente quando eu executo a assinatura de zona?

Por favor, esclareça para mim. Preciso que meu ZSK seja assinado pelo KSK. Como?

    
por user9371654 25.05.2018 / 05:42

1 resposta

0

ZSKs e KSKs são publicados como registros regulares de 'DNSKEY' na mesma zona e, portanto, são assinados como qualquer outro registro, quando toda a zona é assinada. A única lógica especial é:

  • Se for um registro DNSKEY, CDNSKEY ou CDS (ou se a zona for somente KSK), esse registro será assinado usando KSKs e ZSKs. (Isso significa que as chaves são assinadas por si mesmas, e as ZSKs são assinadas pelos KSKs, e assim por diante).

  • Se for um tipo de registro diferente, ele será assinado usando ZSKs.

Isso é automático como parte do programa dnssec-signzone (função signset() no código fonte do BIND9, bin/dnssec/dnssec-signzone.c .)

    
por 25.05.2018 / 07:36

Tags

Atalhos da pasta do Windows: como ter a árvore de pastas implantada na barra lateral esquerda também? Demegação do DNSSEC: o signatário da delegação (DS) é obrigatório?