以下では、DNSSEC が有効になっている Address Manager と DNS サーバとの間でのやり取りを説明します。
この図は、Address Manager および DNS サーバを使用した DNSSEC を簡略化して示しています。
デプロイメントを行う前に、Address Manager ユーザ インターフェイスを使用して次の操作を行う必要があります。
- DNSSEC 署名ポリシーを作成します。
- DNSSEC 署名ポリシーをゾーンに割り当てます。
DNSSEC 署名ポリシーを設定してゾーン署名に構成したら、DNS をデプロイできます。
- Address Manager ユーザ インターフェイスから、DNSSEC 署名ポリシーを使用して DNS をデプロイします。
- DNS サーバは、RRSIG、NSEC/NSEC3 レコードを作成し、DNSKEY を注入することによって、ゾーンに署名します。注:
- 秘密鍵と公開鍵の両方が DNS サーバと Address Manager に格納されます。
- DNS サーバの動的更新は、通知を介して Address Manager にプッシュされます。
- 鍵のロールオーバーは DNS サーバで発生し、鍵の緊急ロールオーバー、鍵の手動ロールオーバー、または新しい DNSSEC 署名ポリシーによってトリガされます。