DNSSEC 概述

Junos OS 设备支持域名服务安全扩展 （DNSSEC） 标准。DNSSEC 是 DNS 的扩展，它通过使用基于公钥的签名提供数据的身份验证和完整性验证。

在 DNSSEC 中，DNS 中的所有资源记录都使用区域所有者的私钥进行签名。DNS 解析程序使用所有者的公钥来验证签名。区域所有者生成一个私钥来加密一组资源记录的哈希。私钥存储在RRSIG记录中。相应的公钥存储在 DNSKEY 记录中。解析程序使用公钥解密 RRSIG，并将结果与资源记录的哈希进行比较，以验证它是否未被更改。

同样，公共 DNS 密钥的哈希存储在父区域的 DS 记录中。区域所有者生成一个私钥来加密公钥的哈希。私钥存储在 RRSIG 记录中。解析程序检索 DS 记录及其相应的 RRSIG 记录和公钥。解析程序使用公钥解密 RRSIG 记录，并将结果与公共 DNSKEY 的哈希进行比较，以验证它是否未被更改。这会在解析程序和名称服务器之间建立信任链。