Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNSSEC の概要

Junos OS デバイスは、ドメインネームサービスセキュリティー拡張 (DNSSEC) 標準をサポートしています。DNSSEC は DNS の拡張であり、公開鍵ベースのシグネチャを使用してデータの認証と整合性を検証します。

DNSSEC では、DNS 内のすべてのリソースレコードは、ゾーン所有者の秘密キーで署名されています。DNS リゾルバーは、所有者の公開鍵を使用して署名を検証します。ゾーンの所有者は、一連のリソースレコードのハッシュを暗号化するための秘密鍵を生成します。秘密鍵は、RRSIG レコードに保存されます。対応する公開鍵は、DNSKEY レコードに格納されます。リゾルバーは、公開鍵を使用して RRSIG を復号化し、その結果をリソースレコードのハッシュと比較して、変更されていないことを確認します。

同様に、パブリック DNSKEY のハッシュは親ゾーンの DS レコードに格納されています。ゾーンの所有者は、公開鍵のハッシュを暗号化するための秘密鍵を生成します。プライベートキーは RRSIG レコードに格納されています。リゾルバーは、DS レコードとそれに対応する RRSIG レコードおよび公開鍵を取得します。公開鍵を使用して、リゾルバーは RRSIG レコードを復号化し、その結果をパブリック DNSKEY のハッシュと比較して、変更されていないことを確認します。これにより、リゾルバーとネームサーバーの間に信頼チェーンが確立されます。