2004 年,我在 Linux 上使用 OpenSSL 和 OpenVPN 提供的简单管理脚本建立了一个小型证书颁发机构。按照我当时找到的指南,我将根CA证书的有效期设置为10年。从那时起,我为OpenVPN隧道、网站和电子邮件服务器签署了许多证书,所有这些证书的有效期也都是10年(这可能是错误的,但当时我并不知道更好)。
我找到了很多关于设置 CA 的指南,但关于它的管理的信息很少,特别是关于根 CA 证书到期时必须做的事情,这将在 2014 年的某个时候发生。所以我有以下内容问题:
由于我对某些客户端的唯一访问是通过使用当前 CA 证书签名的证书的 OpenVPN 隧道,因此情况稍微复杂一些,因此如果我必须替换所有客户端证书,我将需要复制将新文件发送到客户端,重新启动隧道,交叉我的手指并希望它随后出现。
我有一个带有运行 BIND 的 DNS 服务器的内部网络,通过一个网关连接到互联网。我的域“example.com”由外部 DNS 提供商管理。该域中的一些条目,例如“host1.example.com”和“host2.example.com”,以及顶级条目“example.com”,指向网关的公共 IP 地址。
我希望位于内部网络上的主机将“host1.example.com”、“host2.example.com”和“example.com”解析为内部 IP 地址,而不是网关的 IP 地址。其他主机(如“otherhost.example.com”)仍应由外部 DNS 提供商解析。
通过在 BIND 中为“host1.example.com”和“host2.example.com”定义两个单条目区域,我已经成功地为 host1 和 host2 条目做到了这一点。但是,如果我为“example.com”添加一个区域,对该域的所有查询都由我的本地 DNS 服务器解析,例如查询“otherhost.example.com”会导致错误。
是否可以将 BIND 配置为仅覆盖域的某些条目,并递归解析其余条目?