DNSSEC 署名ポリシーの作成 - BlueCat Integrity - 9.5.0

管理ガイド
Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

DNSSEC 署名ポリシーでは、DNSSEC 設定を 1 カ所で構成して、正引きゾーンと逆引きゾーンにポリシーを適用することができ、管理が簡単になります。DNSSEC 署名ポリシーには、ゾーンの鍵署名鍵およびゾーン署名鍵を定義するために必要なすべてのパラメータが含まれています (鍵の自動ロールオーバーの設定を含む)。

管理者は、[管理] タブの [DNSSEC ポリシーの管理] リンクから DNSSEC 署名ポリシーを作成および管理できます。各ゾーンの独自の要件に応じて、複数の署名ポリシーを作成し、KSK および ZSK を作成することができますが、ゾーンは各時点で 1 つの署名ポリシーにしかリンクできません。DNSSEC-HSM 署名ポリシーを構成する必要がある場合は、「DNSSEC-HSM 署名ポリシーの作成」を参照してください。

DNSSEC 署名ポリシーを作成するには:

  1. [管理] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[管理] ページにいることを確認します。
  2. [一般] で [DNSSEC ポリシーの管理] をクリックします。[DNSSEC ポリシーの管理] ページが開きます。
  3. [DNSSEC 署名ポリシー] で、[新規] をクリックして [DNSSEC 署名ポリシー] を選択します。
  4. [一般] で以下のパラメータを設定します。
    • ポリシー名: 命名ポリシーの名前を入力します。
    • 署名有効期間 (日数): RRSIG リソース レコードが有効である日数を入力します。デフォルトの期間は 10 日です。
    • 署名再署名期間 (日数): 署名有効期間が終わる前に BIND がゾーンに再署名する日数を入力します。デフォルトの期間は 2 日です。例えば、署名有効期間が 10 日で、署名再署名期間が 2 日の場合、BIND は署名有効期間の 8 日目にゾーンに再署名します。
    • 署名ダイジェスト アルゴリズム: 委任署名者 (DS) レコードに使用されるアルゴリズムを示します。[SHA1]、[SHA256] (推奨)、または [SHA384] を選択します。このアルゴリズムは、DS レコードを生成する場合にのみ適用されます。
  5. [ゾーン署名鍵ポリシー] で、次のパラメータを設定します。
    • アルゴリズム: 次のゾーン署名鍵 (ZSK) 用のアルゴリズムを選択します。
      注:
      • RSASHA1、RSAMD5、DSA、DSANSEC3SHA1 アルゴリズムは、BIND バージョンが 9.2.2 以上にアップグレードされたため、DNS/DHCP サーバ バージョン 9.2.2 以降ではサポートされません。これらのアルゴリズムは、DNS/DHCP サーバ v9.2.0/9.2.1 および v9.1.0/9.1.1 で引き続き使用できます。ただし、今後のアップグレードを円滑にするため、v9.2.2 以降でサポートされる他のアルゴリズムを使用するよう DNSSEC ポリシーを変更することを推奨します。
      • DNSSEC-HSM 構成を使用する場合、RSA アルゴリズムの使用を推奨します。
      アルゴリズム 説明 ゾーンに追加 サポートされる DNS/DHCP サーバ バージョン
      RSASHA1 認証に RSA、およびデータの整合性に SHA-1 を使用します NSEC レコード DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
      DSA 認証に DSA、およびデータの整合性に SHA-1 を使用します NSEC レコード DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
      RSAMD5 認証に RSA、およびデータの整合性に MD5 を使用します NSEC レコード DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
      RSASHA1NSEC3SHA1 認証に RSA、およびデータの整合性に SHA-1 を使用します NSEC3 レコード すべてのバージョンの DNS/DHCP サーバ
      DSANSEC3SHA1 認証に DSA、およびデータの整合性に SHA-1 を使用します NSEC3 レコード DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
      RSASHA256 認証に RSA、およびデータの整合性に SHA-256 を使用します NSEC レコード すべてのバージョンの DNS/DHCP サーバ
      RSASHA512 認証に RSA、およびデータの整合性に SHA-512 を使用します NSEC レコード すべてのバージョンの DNS/DHCP サーバ
      RSANSEC3SHA256 認証に RSA、およびデータの整合性に SHA-256 を使用します NSEC3 レコード すべてのバージョンの DNS/DHCP サーバ
      RSANSEC3SHA512 認証に RSA、およびデータの整合性に SHA-512 を使用します NSEC3 レコード すべてのバージョンの DNS/DHCP サーバ
      ECDSAP256SHA256* ECDSA アルゴリズムを使用し、認証には P256 曲線、データの整合性に は SHA-256 を使用します NSEC レコード DNS/DHCP サーバ v9.3.0 以降
      ECDSAP384SHA384* ECDSA アルゴリズムを使用し、認証には P356 曲線、データの整合性に は SHA-384 を使用します NSEC レコード DNS/DHCP サーバ v9.3.0 以降
      ED25519* EdDSA アルゴリズムを使用し、認証には Ed25519 曲線、データの整合性に は SHA-512 署名を使用します NSEC レコード DNS/DHCP サーバ v9.3.0 以降
      ED448* EdDSA アルゴリズムを使用し、認証には Ed448 曲線、データの整合性に は SHAKE-256 署名を使用します NSEC レコード DNS/DHCP サーバ v9.3.0 以降
      注: * これらのアルゴリズムは、Address Manager を鍵プロバイダとして選択している場合にのみ使用可能です。
      警告: EdDSA アルゴリズム用サポートは、ECDSA ほど現在広く利用されていません。EdDSA でパブリッシュする場合、EdDSA アルゴリズムを認識しない再帰リゾルバが DNS 応答を符合なしで処理するため、一部のユーザは DNSSEC の利点を失う可能性があります。ECDSA アルゴリズムが推奨されるのは、現在の DNS インフラストラクチャで幅広いレベルのサポートを確保する場合です。
      注: RSAMD5 アルゴリズムは、DNSSEC 鍵の生成には推奨されなくなりました。詳しくは、RFC4641、RFC4034、および RFC3110 を参照してください。DNSSEC アルゴリズムの詳細については、「http://www.iana.org/assignments/dns-sec-alg-numbers」を参照してください。
      注: ゾーン署名鍵と鍵署名鍵には、NSEC レコードまたは NSEC3 レコードのいずれかを両方に使用する必要があります。1 つの鍵に NSEC、および他の鍵に NSEC3 を使用することはできません。ZSK および KSK には異なるアルゴリズムを使用できますが、各鍵のアルゴリズムは同じタイプのリソース レコードを作成する必要があります。

      例えば、ZSK に RSASHA1、および KSK に DSA を選択できます。ただし、ZSK に RSASHA1、および KSK に DSANSEC3SHA1 を選択することはできません。ZSK および KSK に互換性のないアルゴリズムを選択すると、Address Manager は警告メッセージを表示します。

    • 文字数 (ビット): ZSK の文字数をビット単位で選択します (デフォルトは「1024」)。選択したアルゴリズムに応じて、このフィールドのデフォルト値は変わります。
    • TTL のオーバーライド: このチェックボックスは、ZSK のデフォルトの TTL (Time To Live) をオーバーライドするように設定する場合に選択します。テキスト フィールドおよびドロップダウン メニューが開きます。テキスト フィールドに値を入力して、ドロップダウン メニューから時間の単位を選択します。
      注: ZSK の [TTL のオーバーライド] は、KSK の [TTL のオーバーライド] と同じである必要があります
    • 有効期間 (日数): ZSK が有効である日数を入力します (デフォルトは「30」)。
    • 重複期間 (日数): 有効期間が終わる前に、鍵のロールオーバーのために新しい鍵が生成される日数を入力します (デフォルトは「7」)。例えば、[有効期間 (日数)] が 30 で [重複期間 (日数)] が 2 の場合、新しい鍵は ZSK の有効期間の 28 日目に生成されます。
    • ロールオーバー方法: 鍵がロールオーバーしたときに、新しい ZSK を利用可能にする方法を選択します。
      • 事前公開: 重複期間の始めに新しい鍵を公開し、新しい鍵を使用できることを示します。
      • 二重署名: 重複期間の始めに既存の鍵および新しい鍵でゾーンおよび各リソース レコードに署名します。
    • 新規鍵署名期間 (日数): 有効期間が終わる前に、ゾーン内のリソース レコードが新しい鍵によって署名され、同時に古い鍵によって署名が解除される日数を入力します (デフォルトは「3」)。このパラメータは、[ロールオーバー方法] として [事前公開] を選択した場合にのみ表示されます。
    • 保護タイプ: Entrust HSM を鍵プロバイダとして選択した場合のみ、自動的にモジュールとして設定されます (Address Manager を鍵プロバイダとして選択した場合は使用できないオプションです)。
  6. 必要に応じて [変更管理] で、コメントを追加します。
  7. [追加] をクリックします。
DNSSEC 署名ポリシーを定義したら、次の手順では正引きまたは逆引きゾーンにポリシーを割り当てます。