示例:为 DNSSEC 配置安全域和可信密钥
此示例说明如何为 DNSSEC 配置安全域和可信密钥。
要求
设置名称服务器 IP 地址,以便 DNS 解析程序将所有 DNS 查询转发到 DNSSEC 而不是 DNS。请参阅 示例:配置 DNSSEC 了解更多信息。
概述
您可以配置安全域并将可信密钥分配给域。启用 DNSSEC 时,可以验证已签名和未签名的响应。
将域配置为安全域时,如果启用了 DNSSEC,则会忽略对该域的所有未签名响应,并且服务器会向客户端返回未签名响应的 SERVFAIL 错误代码。如果域未配置为安全域,则将接受未签名的响应。
当服务器收到签名的响应时,它会检查响应中的 DNSKEY 是否与配置的任何可信密钥匹配。如果找到匹配项,服务器将接受已签名的响应。
您还可以将 DNS 根区域作为受信任的锚点附加到安全域,以验证已签名的响应。当服务器收到签名响应时,它会在 DNS 根区域查询 DS 记录。当它收到 DS 记录时,它会检查 DS 记录中的 DNSKEY 是否与签名响应中的 DNSKEY 匹配。如果找到匹配项,服务器将接受已签名的响应。
拓扑
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit]
层级的 CLI 中,然后从配置模式进入 commit
。
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
分步过程
要为 DNSSEC 配置安全域和可信密钥,请执行以下操作:
将 domain1.net 和 domain2.net 配置为安全域。
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
配置要 domain1.net 的可信密钥。
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
将根区域 div.isc.org 作为受信任的锚点附加到安全域。
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
成果
在配置模式下,输入 show system services
命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
dns { dnssec { trusted-keys { key domain1.net.ABC123ABCh; ## SECRET-DATA } dlv { domain domain2.net trusted-anchor dlv.isc.org; } secure-domains { domain1.net; domain2.net; } } }
如果完成设备配置,请从配置模式输入 commit
。