DNSSEC执行问题(绑定9.10)

Question

我计划用BIND签署多个DNS区域，并且有以下问题，我无法通过阅读最新的绑定9.10参考手册来回答这些问题。

1. 如何在多个区域使用相同的ZSK？在用dns-keygen name生成新密钥时，似乎提供了-n nametype，其中nametype可以是ZONE, HOST, ENTITY, USER, OTHER的一个。其中一个可以用于将生成的ZSK与一组区域关联起来吗？
2. 在使用*.jbk, *.jnl, *.signed, *.signed.jnl时，我可以在哪里指定已签名的区域文件( inline-signing yes; )放入的目录？我希望目录与原始区域文件(手动编辑)相当干净，并将自动生成的文件放在其他地方。

由于我不确定"Stackexchange -信息安全“是否也用于特定的实现问题，如果它不适合这里，请移动这个问题。

Answer 1

1 (同ZSK):

您不应该对多个区域使用相同的ZSK (据我所知)，因为它是一个区域签名密钥。每个区域应该有一个ZSK。

2 (期刊档案)：

不能用当前版本的bind移动日志文件，但是可以使目录中的区域文件使用指向更干净目录中的文件的符号链接。