我运行一个权威的名称服务器(BIND),我有几个域有相同的区域文件,即他们都使用/etc/bind/db.default3 。
我正在考虑在我的服务器上部署DNSSEC,但到目前为止,我在其上find的所有文档都需要我为每个区域执行许多手动步骤(例如生成KSK和ZSK)。 BIND 9.9的内联签名使得其中一些更容易,但不是一切。
那么,我可以使内联签名模式下的BIND对多个域使用相同的KSK吗? 如果是这样,我可以把这些域的DSlogging相同的价值? 为什么我必须pipe理ZSK – 不应该BIND,给予一个KSK,能够为我照顾这个?
你可以在同一个域中使用相同的KSK,但是这不是一个好主意,因为这意味着如果这个密钥有问题(不pipe是encryption的,你丢失了私钥还是忘了更新等等)会影响多个域名。 对于给定的密钥,您不能在多个区域中拥有相同的DS,因为DS值是从密钥和域名两者中计算出来的!