示例:为 DNSSEC 配置安全域和受信任密钥
此示例演示如何为 DNSSEC 配置安全域和受信任密钥。
要求
设置名称服务器 IP 地址,以便 DNS 解析器将所有 DNS 查询转发到 DNSSEC 而非 DNS。请参阅示例:有关详细信息,请配置 DNSSEC。
概述
您可以配置安全域并将受信任密钥分配至域。启用 DNSSEC 时,可验证已签名和未签名的响应。
将域配置为安全域且启用 DNSSEC 时,将忽略对该域的所有未签名响应,并且服务器会向客户端返回未签名响应的 SERVFAIL 错误代码。如果域未配置为安全域,则将接受未签名的响应。
当服务器收到经过签名的响应时,它会检查响应中的 DNSKEY 是否与配置的任何受信任密钥匹配。如果发现匹配,服务器将接受签名的响应。
您还可以将 DNS 根区域作为受信任的定位点连接到安全域,以验证签名的响应。当服务器收到经过签名的响应时,将查询 DNS 根区域以查找 DS 记录。收到 DS 记录时,它会检查 DS 记录中的 DNSKEY 是否与签名响应中的 DNSKEY 匹配。如果发现匹配,服务器将接受签名的响应。
拓扑
配置
操作
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
分步过程
要为 DNSSEC 配置安全域和受信任密钥:
将 domain1.net 和 domain2.net 配置为安全域。
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
将受信任密钥配置为 domain1.net。
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
将根区域 div.isc.org 作为受信任的定位点附加到安全域。
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
成果
从配置模式,输入show system services命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
dns {
dnssec {
trusted-keys {
key domain1.net.ABC123ABCh; ## SECRET-DATA
}
dlv {
domain domain2.net trusted-anchor dlv.isc.org;
}
secure-domains {
domain1.net;
domain2.net;
}
}
}
如果您完成了设备配置,请从commit配置模式进入。