Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNSSEC – Übersicht

Junos OS unterstützen den DNSSEC-Standard (Domain Name Service Security Extensions). DNSSEC ist eine Erweiterung von DNS, die durch die Verwendung von Public-Key-basierten Signaturen die Authentifizierung und Integritätsprüfung von Daten ermöglicht.

In DNSSEC werden alle Ressourcendatensätze in einem DNS mit dem privaten Schlüssel des Zoneninhabers signiert. Der DNS-Resolver verwendet den öffentlichen Schlüssel des Inhabers zur Validierung der Signatur. Der Zoneninhaber generiert einen privaten Schlüssel zur Verschlüsselung des Hashs einer Gruppe von Ressourcendatensätze. Der private Schlüssel wird im RRSIG-Datensatz gespeichert. Der dazugehörige öffentliche Schlüssel wird im DNSKEY-Eintrag gespeichert. Der Resolver verwendet den öffentlichen Schlüssel zur Entschlüsselung der RRSIG und vergleicht das Ergebnis mit dem Hash des Ressourcendatenwerts, um sicherzustellen, dass dieser nicht verändert wurde.

Der Hash des öffentlichen DNSKEY wird in ähnlicher Weise in einem DS-Datensatz in einer übergeordneten Zone gespeichert. Der Zoneninhaber generiert einen privaten Schlüssel zur Verschlüsselung des Hash des öffentlichen Schlüssels. Der private Schlüssel wird im RRSIG-Datensatz gespeichert. Das Resolver ruft den DS-Datensatz und den zugehörigen RRSIG-Datensatz und öffentlichen Schlüssel ab. Mithilfe des öffentlichen Schlüssels entschlüsselt der Resolver den RRSIG-Datensatz und vergleicht das Ergebnis mit dem Hash des öffentlichen DNSKEY, um sicherzustellen, dass er nicht verändert wurde. Dadurch wird eine Vertrauenskette zwischen dem Resolver und den Name-Servern hergestellt.