我想知道如何在auto-dnssec环境中处理文件。
我当前的设置(非DNSSEC)将区域文件放在/var/named/data 。 这些文件然后由绑定服务器读取。
如果我启用自动签名,区域文件将更改? 或者将绑定在内部保持签名区域? 如果以前发生的事情,傀儡可能不是一个好主意部署DNS区域了。
编辑:这个答案的以前的版本是错误的。
如果我启用自动签名,区域文件会改变吗?
是的 。 BIND将更新您在configuration“dynamic”样式中指定的文件。 这意味着整个文件通常会被重写,丢失任何“$ INCLUDE”指令,转换为“标准”格式等等。
通过手动签名文件,原始区域文件不会更改。 您不能使用手动签名文件的dynamic更新,所以有一个权衡。 一般来说,您要么手工维护原始的区域文件并使用手动签名,要么使用nsupdate来维护原始文件,并让BIND自动签名区域。 附注:最后,我看着BIND无法自动生成ZSK键,所以你仍然必须手动旋转这些(或脚本的过程)。
您可以使用BIND9.9中添加的inline-signingfunction来执行后者(BIND将签名区域与您编辑的未签名区域分开,并在编辑文件时更新它们)。
目前仅在https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.htmllogging