如何設定 Unbound 以透過 TLS 伺服器憑證驗證 DNS?

如何設定 Unbound 以透過 TLS 伺服器憑證驗證 DNS?

我已使用以下配置將 Unbound 設定為使用基於 TLS 的 DNS。如何設定 Unbound 以根據主機名稱驗證上游憑證?

forward-zone:
        name: "."
        forward-addr: 1.1.1.1@853
        forward-addr: 1.0.0.1@853
        forward-addr: 2606:4700:4700::1111@853
        forward-addr: 2606:4700:4700::1001@853
        forward-tls-upstream: yes

答案1

新增對驗證上游 DNS 伺服器憑證的支援的錯誤報告已於 2018 年 4 月 19 日解決。

改編範例評論 9:

server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

還有對其工作原理的解釋 - 主題標籤名稱允許為存根區域設定 tls 身份驗證名稱,並使用 unbound-control 轉發控制命令。 “@”和“#”周圍不應有空格。

答案2

不幸的是,你不能。有一個未解決的錯誤:

在轉送設定中使用 TLS 取消綁定不會驗證伺服器的證書

因此,使用 Unbounds DNS over TLS,您的請求可能會被攔截。

答案3

「在轉送設定中使用 TLS 進行未綁定不會驗證伺服器憑證」的錯誤已於 2018 年 4 月 19 日解決:

轉發器的 TLS 身份驗證。

語法為forward-addr: [@port][#tls-authentication-name] 且 ca 捆綁包可以設定為: tls-cert-bundle: "ca-bundle.pem" (或 ca-bundle.crt 檔案)。

範例伺服器:tls-cert-bundle:“/etc/pki/tls/certs/ca-bundle.crt”轉送區域:名稱:“。”轉寄 tls-upstream:是 轉址:9.9.9.9@853#dns.quad9.net 轉址:1.1.1.1@853#cloudflare-dns.com

主題標籤名稱技巧使得 tls 身份驗證名稱也可以設定為例如。存根區域和帶有 unbound-control 轉發控制命令。程式碼也更容易。 “@”和“#”周圍不應有空格。

當您指定 tls authname 時,連接埠號碼為 [...]853。 (對其他人來說仍然是 53)。

參考:評論 9

相關內容