我有一个关于DNSSEC的初学者问题。 我有很多关于TLS和密码技术的经验,并希望尝试这种新技术。 我已经search了很多关于这个,但我没有find有用的信息给我。 我认为信息收集的一个混乱是“Debian howto DNSSEC设置”可能意味着“如何使用DNSSEC解决”或“如何使用DNSSEC保护您的域名”。 我正在寻找第二个。
我正在运行具有以“.de”结尾的域名(已经由根域签名)的root权限的Debian Squeeze服务器。 此服务器上的networking接口使用运行服务器的数据中心的网关IP(DNSparsing器?)。
我的网域位于freedns.afraid.org,我可以在其中为我的网域添加DNS RR。 目前他们无法添加DNSSEC RR,但我正在仔细研究以支持这一点。 😉
我的简单问题是:如何在Debian上设置DNSSEC? RESP。 我要问谁?
据我所知,我所要做的就是在我的Debian服务器上运行dnssec-keygen ,然后将密钥添加到我的DNS提供程序中作为DNSSEC RR。 (每30天更换一次?)
我已经看了这个http://www.isc.org/files/DNSSEC_in_6_minutes.pdf,但看起来你必须是ZONE的所有者,所以我不认为这适用于我。 谁需要签署我的域名? 我的DNS提供商或我的区域(DeNIC),或者我可以自己做吗?
任何帮助非常感谢!
背景:DNSSEC实际上是两个安全密钥和几个DNSlogging,除了正常的DNSlogging之外,还应该存在。 那些居住在两个地方:
私钥本身实际上可以存储在任何地方(甚至在用来签名所有必须签名的内容之后被删除),但通常它们也将驻留在域授权服务器的某个地方。
现在,您的问题的答案取决于您的DNS提供商将如何实施DNSSEC支持。
在最简单的情况下,DNS主机将完成所有工作(创buildKSK和ZSK密钥,发布DNSKEYlogging,签署并自动退出带有RRSIG和NSEC / NSEC3logging的区域文件, 并准备将发送给您的DS密钥注册机构 )。
(正如您所看到的,它不仅需要来自DNS主机的支持,还需要来自注册服务商的支持。ICANN维护了DNSSEC支持注册服务商的名单 )
在这种情况下,您只需复制您的DNS托pipe服务提供的DS密钥,并将其发送给您的注册服务商(希望通过网页界面或您的注册商支持的任何其他方式)。
PS如你所见,整个过程与你的电脑无关,也不与你运行的任何操作系统有关,无论是debian还是windows,天堂禁止。