DNSSEC区域签名密钥(ZSK)

Question

我的任务是研究在我们的名称服务器上实现DNSSEC。虽然技术方面(生成键、标志区、准备滚动)相对简单，但我遇到了一个后勤问题。我希望在不同的名称服务器上运行不同的DNSSEC实现。

DNSSEC区域签名密钥(ZSK)在所有名称服务器上是否需要相同？如果是的话，为什么？

Answer 1

如果您是指对给定区域具有权威的所有名称服务器，那么是的，他们需要共享密钥，因为它们是作为DNSKEY记录发布的，递归验证客户端将使用这些记录来检查签名。

现在，名称服务器A可以发布ZSK A+所有RRSIG与ZSK A的DNSKEY，而同名服务器B可以让ZSK B+所有RRSIG与ZSK B完成，每一个与相关ZSK的DNSKEY和RRSIG与相关的ZSK的KSK一起发布。

要使DNSSEC验证名称服务器，需要找到至少一条正确的密钥和签名路径。因此，从理论上讲，递归名称服务器只访问nameserverA并从那里检索所有记录，就可以从那里获得验证记录所需的一切。如果它只访问nameserverB，则相同。

然而，问题在于唯一的部分和事实，即事物被缓存，递归名称服务器不会将自己“锁定”到一个权威的名称服务器上，而是会根据不同的算法切换。解析名称服务器的缓存中可能包含一些数据，例如，来自B的DNSKEY A和RRSIG，那么验证就会失败。

因此，简单地说，我会非常惊讶，如果这是可靠的工作。

在本文档中将详细讨论这一点：https://datatracker.ietf.org/doc/draft-huque-dnsop-multi-provider-dnssec/?include_text=1尝试查看一个域名如何同时使用多个DNS提供程序进行解析，但仍然有正确的DNSSEC管理，不同的场景取决于谁进行签名。

你可以对此进行测试，但正如H kan所说，在讨论这个问题之前，你似乎还有另外一个问题。

Answer 2

DNSSEC区域签名密钥(ZSK)在所有名称服务器上是否需要相同？如果是的话，为什么？

区域签名密钥(ZSK)和密钥签名密钥(KSK)不需要在任何名称服务器上。

通过DNSSEC的设计，名称服务器可以使用预先签名的记录来回答查询，包括新的记录，以证明查询记录的拒绝存在。

ZSK只需被任何主机想要签署区域文件所拥有，其余的名称服务器只需要一个新签名区域的副本，该副本可以通过主从名称-服务器设置传递。

一个简单的设置可能是将ZSK放在主名称-服务器上。如果ZSK没有签名区域，则从名称-服务器没有理由知道它们。

编辑:如前所述，ZSKs和KSK在技术上是在所有的名称服务器上，但是只有DNSKEY文件中的DNSKEY记录的公开部分。当我提到上面提到的KSKs和ZSKs时，我指的是密钥的私密部分。