我运行一个权威的名称服务器(BIND),我有几十个域具有相同的区域文件,即它们都使用/etc/bind/db.default3.
我正在考虑在我的服务器上部署DNSSEC,但到目前为止,我在其上找到的所有文档都要求我为每个区域执行许多手动步骤(例如生成KSK和ZSK). BIND 9.9的内联签名使一些更容易,但不是一切.
那么,我可以在内联签名模式下为多个域使用相同的KSK吗?如果是这样,我是否可以在这些域的DS记录中加入相同的值?为什么我必须管理ZSK – 不应该BIND,考虑到KSK,能够为我处理这个问题吗?
解决方法
您可以为多个域使用相同的KSK,但这不是一个好主意,因为它意味着如果此密钥出现问题(加密,您丢失了私钥,或者您忘记更新它等)会影响多个域名. 对于给定密钥,您不能在多个区域中使用相同的DS,因为DS值是根据密钥和域名计算的!
