例:DNSSEC のセキュア ドメインと信頼されたキーの設定
この例では、DNSSEC のセキュア ドメインと信頼できるキーを設定する方法を示します。
要件
DNS リゾルバーがすべての DNS クエリを DNS ではなく DNSSEC に転送するように、ネーム サーバーの IP アドレスを設定します。「例 :DNSSECの設定 詳細については、「」を参照してください。
概要
セキュリティで保護されたドメインを構成し、信頼されたキーをドメインに割り当てることができます。DNSSEC が有効になっている場合、署名された応答と署名されていない応答の両方を検証できます。
ドメインをセキュア・ドメインとして構成し、DNSSEC が使用可能になっている場合、そのドメインに対する署名されていない応答はすべて無視され、サーバーは署名されていない応答に対して SERVFAIL エラー・コードをクライアントに返します。ドメインがセキュリティで保護されたドメインとして構成されていない場合は、署名されていない応答が受け入れられます。
サーバーは、署名された応答を受信すると、応答内の DNSKEY が構成されている信頼できるキーのいずれかと一致するかどうかを確認します。一致が見つかった場合、サーバーは署名された応答を受け入れます。
DNS ルート ゾーンを信頼されたアンカーとしてセキュリティで保護されたドメインにアタッチし、署名された応答を検証することもできます。サーバーは、署名された応答を受信すると、DNS ルート ゾーンに DS レコードのクエリを実行します。DS レコードを受信すると、DS レコードの DNSKEY が署名された応答の DNSKEY と一致するかどうかを確認します。一致が見つかった場合、サーバーは署名された応答を受け入れます。
トポロジー
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
ステップバイステップでの手順
DNSSECのセキュアドメインと信頼できるキーを設定するには、次の手順に従います。
domain1.net と domain2.net をセキュリティで保護されたドメインとして構成します。
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
domain1.net する信頼できるキーを構成します。
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
ルート ゾーン div.isc.org 信頼されたアンカーとしてセキュリティで保護されたドメインにアタッチします。
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
結果
設定モードから、show system services
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
dns { dnssec { trusted-keys { key domain1.net.ABC123ABCh; ## SECRET-DATA } dlv { domain domain2.net trusted-anchor dlv.isc.org; } secure-domains { domain1.net; domain2.net; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。