Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:DNSSEC のセキュアドメインと信頼されたキーの構成

この例では、DNSSEC のセキュアドメインと信頼されたキーを設定する方法を示します。

要件

ネームサーバーの IP アドレスを設定して、dns リゾルバーが dns クエリをすべて DN に転送するようにします。例をご覧ください。詳細については、DNSSEC の構成を参照してください。

概要

セキュアなドメインを構成し、ドメインに信頼されたキーを割り当てることができます。DNSSEC が有効になっている場合、署名された応答と署名のない回答の両方を検証できます。

ドメインを secure ドメインとして構成し、DNSSEC が有効になっている場合、そのドメインに対する未署名の応答はすべて無視され、サーバーがサーブレットの応答をクライアントに返します。ドメインが secure ドメインとして設定されていない場合、未署名応答が受け付けられます。

サーバーは、署名された応答を受信すると、応答内の DNSKEY が設定されている信頼されるキーのいずれかと一致するかどうかを確認します。一致するものが見つかった場合、サーバーは署名された応答を受け付けます。

DNS ルートゾーンを安全なドメインに信頼されたアンカーとして接続して、署名した応答を検証することもできます。サーバーは、署名された応答を受信すると、DS レコードを DNS ルートゾーンに照会します。DS レコードを受信すると、DS レコード内の DNSKEY が署名された応答の DNSKEY と一致するかどうかを確認します。一致するものが見つかった場合、サーバーは署名された応答を受け付けます。

Topology

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

DNSSEC のセキュアドメインおよび信頼されたキーを構成するには、次のようにします。

  1. Domain1.net と domain2.net を安全なドメインとして構成します。

  2. Domain1.net の信頼されるキーを設定します。

  3. ルートゾーン div.isc.org をセキュリティ保護されたドメインに信頼されたアンカーとしてアタッチします。

結果

設定モードから、 show system servicesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。