Bind 構成の DNSSEC 拡張に関連するディレクティブを理解しようとしていますbindkeys-file。それは公開キーですか? デジタル署名と同じ方法で応答に署名しますか?
答え1
これは実際には信頼できるキーの代替リポジトリであり、ルート ゾーンから自分のゾーンまでの完全に署名されたパスがない場合に、ゾーン キーを送信できます。機能的な DLV レジストリは ですdlv.isc.org。デフォルトでは、ルート ゾーン キーとdlv.isc.orgキーが に含まれており/etc/named.iscdlv.key、Options ディレクティブの属性の値として使用されます。これはまたはbindkeys-fileで自動的に見つかります。named.confnamed.options
から/usr/share/doc/bind-9.7.3/arm/Bv9ARM.pdf:
bindkeys-filenamed によって提供される組み込みの信頼されたキーを上書きするファイルのパス名。詳細については、dnssec-lookaside および dnssec-validation の説明を参照してください。指定されていない場合、デフォルトは /etc/bind.keys です。