Address Manager支持具有以下功能的 DNSSEC:
- DNSSEC 签名策略:定义签名策略中包含用于创建和管理区域签名密钥 (ZSK) 和密钥签名密钥 (KSK) 的参数。其后,对正向或反向区域进行签名时仅需将签名策略链接到区域。注意: 目前,存在一种限制,即 DNS 视图名称中的空间可能会影响使用 DNSSEC 区域签名的部署。如果要添加将链接到 DNSSEC 签名策略的 DNS 视图,则视图名称不能包含空格。有关更多信息,请参阅 BlueCat 客户服务中心的文章 14957。
- DNSSEC 密钥生成和反转功能:Address Manager 自动管理 ZSK 和 KSK 生成和反转,但也可以手动覆盖这些功能。如果要手动更新密钥,请使用密钥生成,并在需要更换已泄露的密钥时使用紧急密钥反转。有关更多信息,请参阅管理 DNSSEC 密钥反转和生成。
- DNSSEC 部署选项:可以使用 DNSSEC 部署选项启用 DNSSEC 并在托管 DNS 服务器上配置 DNSSEC 验证。有三个部署选项可用于启用 DNSSEC、启用 DNSSEC 验证以及创建 DNSSEC 信任锚。有关更多信息,请参阅配置 DNSSEC 验证服务器。
- DNSSEC 签名摘要报表:可以生成一个报表,列出配置中的所有已签名和未签名区域。有关更多信息,请参阅报告类型。注: DNSSEC 使用 EDNS(DNS 的扩展机制)。要使用 DNSSEC,必须确保网络防火墙允许大于 512 字节的 UDP 数据包。