Domande di implementazione DNSSEC (BIND 9.10)

1

Sto pianificando di firmare più zone DNS con BIND e ho le seguenti domande a cui non ho potuto rispondere leggendo l'ultimo riferimento BIND 9.10 manuale.

  1. Come posso utilizzare lo stesso ZSK con più zone? Quando si genera una nuova chiave con dns-keygen name sembra offrire -n nametype dove nametype può essere uno di ZONE, HOST, ENTITY, USER, OTHER . È possibile utilizzarne uno per associare lo ZSK generato a un insieme di zone?

  2. Dove posso specificare in quale directory vengono inseriti i file di zona firmati ( *.jbk, *.jnl, *.signed, *.signed.jnl ) quando si utilizza inline-signing yes; ? Preferirei avere la directory con i file delle zone originali (che vengono modificati manualmente) piuttosto pulita e mettere da qualche altra parte i file generati automaticamente.

Poiché non sono sicuro che "Stackexchange - Information Security" debba essere utilizzato anche per domande specifiche sull'implementazione, sposta la domanda se non si adatta qui.

    
posta Simon Fromme 21.07.2016 - 12:20
fonte

1 risposta

1

1 (Same ZSK):

Non dovresti utilizzare lo stesso ZSK per più zone (per quanto ne so), poiché è una chiave di firma zone . Ci dovrebbe essere un ZSK per ogni zona.

2 (file journal):

Non è possibile spostare i file journal con la versione corrente di bind, tuttavia è possibile fare in modo che i file di zona nella directory bind utilizzino i collegamenti simbolici ai file in una directory più pulita.

    
risposta data 12.08.2016 - 03:45
fonte

Leggi altre domande sui tag