Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:DNSSEC のセキュア ドメインと信頼されたキーの設定

この例では、DNSSEC のセキュア ドメインと信頼できるキーを設定する方法を示します。

要件

DNS リゾルバーがすべての DNS クエリを DNS ではなく DNSSEC に転送するように、ネーム サーバーの IP アドレスを設定します。「例 :詳細については、DNSSEC の設定を参照してください。

概要

セキュリティで保護されたドメインを構成し、信頼されたキーをドメインに割り当てることができます。DNSSEC が有効になっている場合、署名された応答と署名されていない応答の両方を検証できます。

ドメインをセキュア・ドメインとして構成し、DNSSEC が使用可能になっている場合、そのドメインに対する署名されていない応答はすべて無視され、サーバーは署名されていない応答に対して SERVFAIL エラー・コードをクライアントに返します。ドメインがセキュリティで保護されたドメインとして構成されていない場合は、署名されていない応答が受け入れられます。

サーバーは、署名された応答を受信すると、応答内の DNSKEY が構成されている信頼できるキーのいずれかと一致するかどうかを確認します。一致が見つかった場合、サーバーは署名された応答を受け入れます。

DNS ルート ゾーンを信頼されたアンカーとしてセキュリティで保護されたドメインにアタッチし、署名された応答を検証することもできます。サーバーは、署名された応答を受信すると、DNS ルート ゾーンに DS レコードのクエリを実行します。DS レコードを受信すると、DS レコードの DNSKEY が署名された応答の DNSKEY と一致するかどうかを確認します。一致が見つかった場合、サーバーは署名された応答を受け入れます。

トポロジー

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

DNSSECのセキュアドメインと信頼できるキーを設定するには、次の手順に従います。

  1. domain1.net と domain2.net をセキュリティで保護されたドメインとして構成します。

  2. domain1.net する信頼できるキーを構成します。

  3. ルート ゾーン div.isc.org 信頼されたアンカーとしてセキュリティで保護されたドメインにアタッチします。

結果

設定モードから、show system servicesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。