예를 들면 다음과 같습니다. DNSSEC에 대한 보안 도메인 및 신뢰할 수 있는 키 구성
이 예는 DNSSEC에 대한 보안 도메인 및 신뢰할 수 있는 키를 구성하는 방법을 보여줍니다.
요구 사항
DNS 확인자에서 모든 DNS 쿼리를 DNS 대신 DNSSEC으로 전달하도록 네임서버 IP 주소를 설정합니다. 예: 자세한 정보를 위해 DNSSEC 구성을 참조하십시오.
개요
보안 도메인을 구성하고 도메인에 신뢰할 수 있는 키를 할당할 수 있습니다. DNSSEC이 활성화되면 서명된 응답과 서명되지 않은 응답을 모두 검증할 수 있습니다.
도메인을 보안 도메인으로 구성하고 DNSSEC이 활성화된 경우 해당 도메인에 대한 모든 서명되지 않은 응답은 무시되고 서버는 서명되지 않은 응답을 위해 SERVFAIL 오류 코드를 클라이언트에 반환합니다. 도메인이 보안 도메인으로 구성되지 않은 경우 서명되지 않은 응답이 수락됩니다.
서버가 서명된 응답을 수신하면 응답의 DNSKEY가 구성된 신뢰할 수 있는 키와 일치하는지 확인합니다. 일치하는 것을 발견하면 서버는 서명된 응답을 수락합니다.
또한 DNS 루트 존을 보안 도메인에 신뢰할 수 있는 앵커로 연결하여 서명된 응답을 검증할 수 있습니다. 서버가 서명된 응답을 수신하면 DNS 루트 존에 DS 레코드를 쿼리합니다. DS 레코드를 수신하면 DS 레코드의 DNSKEY가 서명된 응답의 DNSKEY와 일치하는지 확인합니다. 일치하는 것을 발견하면 서버는 서명된 응답을 수락합니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
단계별 절차
DNSSEC에 대한 보안 도메인 및 신뢰할 수 있는 키 구성 방법:
domain1.net 및 domain2.net 보안 도메인으로 구성합니다.
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
domain1.net 신뢰할 수 있는 키를 구성합니다.
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
루트 영역 div.isc.org 보안 도메인에 신뢰할 수 있는 앵커로 연결합니다.
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show system services . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
dns {
dnssec {
trusted-keys {
key domain1.net.ABC123ABCh; ## SECRET-DATA
}
dlv {
domain domain2.net trusted-anchor dlv.isc.org;
}
secure-domains {
domain1.net;
domain2.net;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .