preguntas de implementación de DNSSEC (BIND 9.10)

1

Planeo firmar múltiples zonas DNS con BIND y tengo las siguientes preguntas que no pude responder al leer la última Referencia de BIND 9.10 Manual .

  1. ¿Cómo puedo usar la misma ZSK con varias zonas? Cuando generar una nueva clave con dns-keygen name parece ofrecer -n nametype donde nametype puede ser uno de ZONE, HOST, ENTITY, USER, OTHER . ¿Se puede usar uno de ellos para asociar la ZSK generada con un conjunto de zonas?

  2. ¿Dónde puedo especificar en qué directorio se colocan los archivos de zona firmados ( *.jbk, *.jnl, *.signed, *.signed.jnl ) cuando se usa inline-signing yes; ? Prefiero tener el directorio con los archivos de zona originales (que se editan manualmente) en lugar de limpiar y poner los archivos generados automáticamente en otro lugar.

Ya que no estoy seguro de si "Stackexchange - Seguridad de la información" también está destinado a ser utilizado para preguntas de implementación específicas, mueva la pregunta si no encaja aquí.

    
pregunta Simon Fromme 21.07.2016 - 12:20
fuente

1 respuesta

1

1 (el mismo ZSK):

No debe utilizar la misma ZSK para varias zonas (que yo sepa), ya que es una clave de firma de zona . Debe haber una ZSK para cada zona.

2 (Archivos de diario):

No puede mover los archivos de diario con la versión actual de enlace, sin embargo, puede hacer que los archivos de zona en el enlace de directorio utilicen enlaces simbólicos a archivos en un directorio más limpio.

    
respondido por el ConnorJC 12.08.2016 - 03:45
fuente

Lea otras preguntas en las etiquetas