Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration des domaines sécurisés et des clés de confiance pour DNSSEC

Cet exemple montre comment configurer des domaines sécurisés et des clés de confiance pour DNSSEC.

Conditions préalables

Définissez l’adresse IP du serveur de noms afin que le résolveur DNS transfère toutes les requêtes DNS à DNSSEC au lieu de DNS. Voir l’exemple : Configuration de DNSSEC pour plus d’informations.

Présentation

Vous pouvez configurer des domaines sécurisés et leur attribuer des clés de confiance. Les réponses signées et non signées peuvent être validées lorsque DNSSEC est activé.

Lorsque vous configurez un domaine en tant que domaine sécurisé et que DNSSEC est activé, toutes les réponses non signées à ce domaine sont ignorées et le serveur renvoie un code d’erreur SERVFAIL au client pour les réponses non signées. Si le domaine n’est pas configuré en tant que domaine sécurisé, les réponses non signées seront acceptées.

Lorsque le serveur reçoit une réponse signée, il vérifie si la clé DNS de la réponse correspond à l’une des clés approuvées configurées. S’il trouve une correspondance, le serveur accepte la réponse signée.

Vous pouvez également attacher une zone racine DNS en tant qu’ancre approuvée à un domaine sécurisé pour valider les réponses signées. Lorsque le serveur reçoit une réponse signée, il interroge la zone racine DNS à la recherche d’un enregistrement DS. Lorsqu’il reçoit l’enregistrement DS, il vérifie si la clé DNS de l’enregistrement DS correspond à la clé DNS de la réponse signée. S’il trouve une correspondance, le serveur accepte la réponse signée.

Topologie

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

Pour configurer les domaines sécurisés et les clés de confiance pour DNSSEC :

  1. Configurez domain1.net et domain2.net en tant que domaines sécurisés.

  2. Configurez des clés de confiance pour domain1.net.

  3. Attachez une zone racine div.isc.org en tant qu’ancre approuvée à un domaine sécurisé.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show system services commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.