只是想了解bindkeys-file绑定配置中与 DNSSEC 扩展相关的指令。那是公钥吗?它是否以与数字签名相同的方式签署响应?
它实际上是可信密钥的替代存储库,如果从根区域到您自己的区域没有完全签名的路径,则可以在其中提交他们的区域密钥。功能 DLV 注册表是dlv.isc.org. 默认情况下,根区域键和dlv.isc.org键包含在选项指令中/etc/named.iscdlv.key作为bindkeys-file属性的值。您可以在named.conf或 中自动找到它named.options。
来自/usr/share/doc/bind-9.7.3/arm/Bv9ARM.pdf:
bindkeys-file用于覆盖由 named 提供的内置可信密钥的文件的路径名。有关详细信息,请参阅 dnssec-lookaside 和 dnssec-validation 的讨论。如果未指定,则默认为 /etc/bind.keys。