定义用于 DDNS 更新和安全区域传输的事务签名 (TSIG) 密钥。
可以在 Address Manager 中为以下函数定义事务签名 (TSIG) 密钥:
- 允许 DHCP 服务器对 DNS 服务器执行安全的 DDNS 更新
- 允许 DNS 服务器从 DDNS 客户端接收安全的 DDNS 更新
- 保护区域传输和其他 DNS 部署选项。
注意:
使用 TSIG 密钥服务器对 DNS 部署选项的任何相互通信的 DNS 服务器(例如主要/备用关系中的 DNS 服务器)必须全部位于相同的软件级别。例如,主要服务器及其备用服务器必须全部运行 DNS/DHCP 服务器 软件版本 8.1.1。DNS/DHCP 服务器 运行不同的软件级别可能会导致部署或区域传输失败。
有关 TSIG 密钥对 DNS 部署选项的更多信息,请参阅 参考:DNS 部署选项。
要创建 TSIG 密钥,请指定密钥的名称、算法以及密钥的长度(以位为单位)。Address Manager 可以自动创建密钥值,也可以手动为密钥输入 Base64 编码的字符串。当需要将 DNS 和 DHCP 服务器上已存在的密钥添加到 Address Manager 时,请使用手动选项。
可以在 IP 空间、DNS、设备、TFTP 和服务器主选项卡找到的 TSIG 密钥页面选项卡上的配置级别定义 TSIG 密钥。此处定义的密钥可用于在配置中的任何位置设置的 DNS 部署选项,以及 DHCP 正向和反向区域中。用于 DHCP 区域的密钥必须使用 HMAC MD5 算法定义。旨在与 DNS 部署选项一起使用以保护 DDNS 更新和区域传输的密钥可以使用任何可用的算法。有关将 TSIG 密钥与 DNS 部署选项一起使用的更多信息,请参阅DNS 部署选项。
查看 TSIG 密钥的详细信息时,可以查看与其链接的对象。如果 TSIG 密钥链接到另一个 Address Manager 对象或由其使用,则无法删除该密钥。如果密钥被泄露,可以执行紧急反转以重新生成密钥。重新生成一个或多个 TSIG 密钥后,需要将配置部署到一台或多台服务器。
提示: 什么是“受损”密钥?
受损密钥可能意味着部分(或全部)密钥已被恶意攻击者通过加密分析破译,或者恶意攻击者已获得对密钥的物理访问权限。在任何一种情况下,都必须生成新密钥以保护 DNS/DHCP 环境的安全性。