Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:DNSSEC のセキュア ドメインと信頼できるキーの設定

この例では、DNSSEC のセキュア ドメインと信頼できるキーを構成する方法を示しています。

要件

DNS リゾルバーが DNS の代わりにすべての DNS クエリを DNSSEC に転送するように、ネーム サーバーの IP アドレスを設定します。例を参照してください 。詳細については、DNSSEC の設定を参照してください。

概要

セキュアなドメインを設定し、信頼できるキーをドメインに割り当てることができます。DNSSEC が有効になっている場合、署名された応答と署名されていない応答の両方を検証できます。

ドメインをセキュア ドメインとして設定し、DNSSEC が有効になっている場合、そのドメインに対するすべての未署名応答は無視され、サーバーは SERVFAIL エラー コードを署名されていない応答のクライアントに返します。ドメインがセキュア ドメインとして構成されていない場合は、未署名の応答が受け入れられます。

サーバーが署名された応答を受信すると、応答の DNSKEY が構成されている信頼されたキーと一致するかどうかをチェックします。一致するものが見つかると、サーバーは署名された応答を受け入れます。

また、DNS ルート ゾーンを信頼できるアンカーとしてセキュア ドメインにアタッチして、署名された応答を検証することもできます。サーバーは、署名された応答を受信すると、DS レコードの DNS ルート ゾーンをクエリします。DS レコードを受信すると、DS レコード内の DNSKEY が署名された応答の DNSKEY と一致するかどうかを確認します。一致するものが見つかると、サーバーは署名された応答を受け入れます。

トポロジ

設定

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

DNSSEC のセキュア ドメインと信頼できるキーを設定するには、以下の手順に応じます。

  1. domain1.net を設定し、セキュアドメインとして domain2.net します。

  2. domain1.net する信頼できるキーを構成します。

  3. ルート ゾーン div.isc.org を信頼できるアンカーとしてセキュア ドメインにアタッチします。

結果

設定モードから、コマンドを入力して設定を show system services 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。