Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNSSEC の概要

Junos OS デバイスは、DNSSEC(Domain Name Service Security Extension)標準をサポートしています。DNSSEC は、公開キーベースの署名を使用してデータの認証と整合性検証を提供する DNS の拡張機能です。

DNSSEC では、DNS 内のすべてのリソース レコードがゾーン所有者の秘密キーで署名されます。DNS リゾルバーは、所有者の公開キーを使用して署名を検証します。ゾーンの所有者は、一連のリソース レコードのハッシュを暗号化するための秘密キーを生成します。秘密鍵はRRSIGレコードに格納されます。対応する公開キーは、DNSKEY レコードに格納されます。リゾルバーは公開鍵を使用して RRSIG を暗号化解除し、その結果をリソース・レコードのハッシュと比較して、変更されていないことを確認します。

同様に、パブリック DNSKEY のハッシュは、親ゾーンの DS レコードに格納されます。ゾーンの所有者は、公開キーのハッシュを暗号化するための秘密キーを生成します。秘密キーは RRSIG レコードに格納されます。リゾルバーは、DS レコードとそれに対応する RRSIG レコードおよび公開鍵を取得します。公開鍵を使用して、リゾルバーは RRSIG レコードを復号化し、その結果を公開 DNSKEY のハッシュと比較して、変更されていないことを確認します。これにより、リゾルバーとネームサーバーの間に信頼チェーンが確立されます。