Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration de domaines sécurisés et de clés de confiance pour DNSSEC

Cet exemple montre comment configurer des domaines sécurisés et des clés de confiance pour DNSSEC.

Conditions préalables

Définissez l’adresse IP du serveur de noms afin que le résolveur DNS transfère toutes les requêtes DNS vers DNSSEC au lieu de DNS. Voir l’exemple : Configuration de DNSSEC pour plus d’informations.

Présentation

Vous pouvez configurer des domaines sécurisés et leur attribuer des clés de confiance. Les réponses signées et non signées peuvent être validées lorsque DNSSEC est activé.

Lorsque vous configurez un domaine en tant que domaine sécurisé et que DNSSEC est activé, toutes les réponses non signées à ce domaine sont ignorées et le serveur renvoie un code d’erreur SERVFAIL au client pour les réponses non signées. Si le domaine n’est pas configuré en tant que domaine sécurisé, les réponses non signées seront acceptées.

Lorsque le serveur reçoit une réponse signée, il vérifie si la clé DNSKEY correspond à l’une des clés de confiance configurées. S’il trouve une correspondance, le serveur accepte la réponse signée.

Vous pouvez également joindre une zone racine DNS comme point d’ancrage sécurisé à un domaine sécurisé pour valider les réponses signées. Lorsque le serveur reçoit une réponse signée, il interroge la zone racine DNS pour obtenir un enregistrement DS. Lorsqu’il reçoit l’enregistrement DS, il vérifie si la clé DNSKEY de l’enregistrement DS correspond à la clé DNSKEY dans la réponse signée. S’il trouve une correspondance, le serveur accepte la réponse signée.

Topologie

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

Pour configurer des domaines sécurisés et des clés de confiance pour DNSSEC :

  1. Configurez domain1.net et domain2.net comme domaines sécurisés.

  2. Configurez des clés de confiance pour domain1.net.

  3. Fixez une zone racine div.isc.org comme point d’ancrage fiable à un domaine sécurisé.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show system services commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.