我有一个关于 DNSSEC 的初学者问题。我在 TLS 和密码学方面有很多经验,想尝试这项新技术。我在谷歌上搜索了很多关于这个的信息,但我没有找到对我有用的信息。我认为信息收集中的一个混淆是“Debian howto DNSSEC setup”可能意味着“如何使用 DNSSEC 进行解析”或“如何使用 DNSSEC 保护您的域”。我正在寻找第二个。
我正在运行具有 root 权限的 Debian Squeeze 服务器,该服务器的域名以“.de”结尾(已由根区域签名)。此服务器上的网络接口使用运行服务器的数据中心的网关 IP(DNS 解析器?)。
我的域托管在 freedns.afraid.org ,在那里我可以为我的域添加 DNS RR。他们目前无法添加 DNSSEC RR,但我正在催促他们尽快支持。;-)
我的简单问题是:如何在 Debian 上设置 DNSSEC?分别 我问谁?
据我所知,我所要做的就是dnssec-keygen在我的 Debian 服务器上运行,然后将密钥添加到我的 DNS 提供商中作为 DNSSEC RR。(并且每 30 天更换一次?)
我看过这个http://www.isc.org/files/DNSSEC_in_6_minutes.pdf但看起来你必须是一个 ZONE 的所有者,所以我认为这不适用于我。谁需要签署我的域?我的 DNS 提供商或我的区域 (DeNIC) 还是我可以自己做?
非常感谢任何帮助!
背景:实际上,DNSSEC 是一些安全密钥和一些 DNS 记录,除了您的正常 DNS 记录之外,它们还应该存在。那些居住在两个地方:
私钥本身实际上可以存储在任何地方(甚至在它们用于对所有必须签名的内容进行签名后删除),但通常它们也会驻留在域权威服务器上的某个位置。
现在,您的问题的答案取决于您的 DNS 提供商将如何实施 DNSSEC 支持。
在最简单(对您而言)的情况下,DNS 托管将完成所有工作(创建 KSK 和 ZSK 密钥、发布DNSKEY记录、使用RRSIG和NSEC/NSEC3记录签署和自动重新签署区域文件,以及准备您将发送给您的DS密钥)注册商)。
(如您所见,它不仅需要您的 DNS 托管服务,还需要您的注册商的支持。ICANN维护着 DNSSEC 支持注册商的列表)
在这种情况下,您只需复制DNS 托管提供的DS密钥并将其发送给您的注册商(希望通过 Web 界面或您的注册商支持的任何其他方式)。
PS 如您所见,整个过程与您的计算机无关,也与您运行的任何操作系统无关,无论是 debian 还是 windows,天堂禁止。
| 归档时间: |
|
| 查看次数: |
1966 次 |
| 最近记录: |