Ich versuche nur, die Anweisung zur DNSSEC-Erweiterung in der Bind-Konfiguration zu verstehen bindkeys-file. Ist das ein öffentlicher Schlüssel? Signiert er die Antwort auf die gleiche Weise wie digitale Signaturen?
Antwort1
Es handelt sich eigentlich um ein alternatives Repository für vertrauenswürdige Schlüssel, wo man seine Zonenschlüssel einreichen kann, wenn es keinen vollständig signierten Pfad von der Stammzone zur eigenen Zone gibt. Das funktionale DLV-Register ist dlv.isc.org. Standardmäßig sind der Stammzonenschlüssel und der dlv.isc.orgSchlüssel in enthalten /etc/named.iscdlv.keyund das geht als Wert an bindkeys-filedas Attribut in der Optionsdirektive. Sie finden dies automatisch in named.confoder named.options.
aus /usr/share/doc/bind-9.7.3/arm/Bv9ARM.pdf:
bindkeys-fileDer Pfadname einer Datei, um die integrierten vertrauenswürdigen Schlüssel zu überschreiben, die von named bereitgestellt werden. Weitere Informationen finden Sie in der Erläuterung zu dnssec-lookaside und dnssec-validation. Wenn nicht angegeben, ist der Standardwert /etc/bind.keys.