Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNSSEC の概要

Junos OS デバイスは、DNSSEC(ドメイン 名サービス セキュリティ拡張機能)規格をサポートしています。DNSSECは、DNSの拡張であり、公開鍵ベースのシグネチャを使用して、データの認証と整合性の検証を提供します。

DNSSEC では、DNS 内のすべてのリソース レコードがゾーン所有者の秘密鍵で署名されます。DNS リゾルバーは所有者の公開キーを使用して署名を検証します。ゾーン所有者は、リソース レコードのセットのハッシュを暗号化するための秘密鍵を生成します。秘密鍵は RRSIG レコードに保管されます。対応する公開キーが DNSKEY レコードに格納されます。リゾルバーは、公開鍵を使用して RRSIG を暗号化解除し、その結果をリソース・レコードのハッシュと比較して、変更されていないことを検証します。

同様に、パブリック DNSKEY のハッシュは、親ゾーンの DS レコードに格納されます。ゾーン所有者は、公開鍵のハッシュを暗号化するための秘密鍵を生成します。秘密鍵は RRSIG レコードに保管されます。リゾルバーは、DS レコードとそれに対応する RRSIG レコードおよび公開鍵を取り出します。リゾルバーは、公開鍵を使用して RRSIG レコードを暗号化解除し、その結果をパブリック DNSKEY のハッシュと比較して、変更されていないことを検証します。これにより、リゾルバーとネーム サーバーの間に信頼チェーンが確立されます。