У меня есть эта белая лаборатория. Он имеет собственное имя домена верхнего уровня (TLD) whitelab. и используется IS C Bind9 9.15.
Это позволяет развернуть множество сценариев сетевого тестирования ios внутри компании.
Как один DNSSE C подписывает этот пользовательский TLD таким образом, чтобы он не только работал для обеспечения безопасного просмотра DNS из представления / сети Bind whitelab, но и возвращался к IS C Root Ключ, когда DNSSE C -разрешает доменное имя (имена) за пределами белой лаборатории? Очевидно, что ICANN не добавит этот whitelab TLD для всего мира (и не хотелось бы).
Некоторые базовые настройки c IS C Bind9 v9.15:
options {
...
dnssec-enable yes;
dnssec-validation yes; //// not 'auto', nor 'no'.
...
};
view whitelab {
...
trusted-keys {
whitelab. 257 3 14 "<key-value>";
};
...
};
Развертывание вышеуказанной конфигурации в представлении Bind без Inte rnet (local / whitelab) привело к нарушению DNSSE C для представления Bind по всему Inte rnet.
Ключи были созданы с помощью:
dnssec-keygen -v3 -G -n ZONE -a ECDSAP384SHA384 whitelab.
dnssec-keygen -v3 -G -n ZONE -a ECDSAP384SHA384 168.192.in-addr.arpa.
Является ли этот подход «доверенными ключами» правильным?