我已使用以下配置將 Unbound 設定為使用基於 TLS 的 DNS。如何設定 Unbound 以根據主機名稱驗證上游憑證?
forward-zone:
name: "."
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853
forward-addr: 2606:4700:4700::1111@853
forward-addr: 2606:4700:4700::1001@853
forward-tls-upstream: yes
答案1
新增對驗證上游 DNS 伺服器憑證的支援的錯誤報告已於 2018 年 4 月 19 日解決。
改編範例評論 9:
server:
tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
name: "."
forward-addr: 1.1.1.1#cloudflare-dns.com
forward-addr: 1.0.0.1#cloudflare-dns.com
forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
forward-tls-upstream: yes
還有對其工作原理的解釋 - 主題標籤名稱允許為存根區域設定 tls 身份驗證名稱,並使用 unbound-control 轉發控制命令。 “@”和“#”周圍不應有空格。
答案2
答案3
「在轉送設定中使用 TLS 進行未綁定不會驗證伺服器憑證」的錯誤已於 2018 年 4 月 19 日解決:
轉發器的 TLS 身份驗證。
語法為forward-addr: [@port][#tls-authentication-name] 且 ca 捆綁包可以設定為: tls-cert-bundle: "ca-bundle.pem" (或 ca-bundle.crt 檔案)。
範例伺服器:tls-cert-bundle:“/etc/pki/tls/certs/ca-bundle.crt”轉送區域:名稱:“。”轉寄 tls-upstream:是 轉址:9.9.9.9@853#dns.quad9.net 轉址:1.1.1.1@853#cloudflare-dns.com
主題標籤名稱技巧使得 tls 身份驗證名稱也可以設定為例如。存根區域和帶有 unbound-control 轉發控制命令。程式碼也更容易。 “@”和“#”周圍不應有空格。
當您指定 tls authname 時,連接埠號碼為 [...]853。 (對其他人來說仍然是 53)。
參考:評論 9。