Просто пытаюсь понять bindkeys-fileдирективу, связанную с расширением DNSSEC в конфигурации Bind. Это открытый ключ? Подписывает ли он ответ так же, как цифровые подписи?
решение1
На самом деле это альтернативный репозиторий для доверенных ключей, где можно отправлять свои ключи зоны, если нет полностью подписанного пути от корневой зоны до вашей собственной зоны. Функциональный реестр DLV — dlv.isc.org. По умолчанию ключ корневой зоны и dlv.isc.orgключ включены в /etc/named.iscdlv.keyи идут как значение bindkeys-fileатрибута в директиве Options. Вы можете найти это автоматически в named.confили named.options.
от /usr/share/doc/bind-9.7.3/arm/Bv9ARM.pdf:
bindkeys-fileПуть к файлу для переопределения встроенных доверенных ключей, предоставленных named. Подробности см. в обсуждении dnssec-lookaside и dnssec-validation. Если не указано, по умолчанию используется /etc/bind.keys.