为委派的第三方区域创建信任链 - BlueCat Integrity

为委派的第三方区域创建信任链 - BlueCat Integrity - 9.5.0

管理指南

Locale

中文 (大陆)

Product name

BlueCat Integrity

Version

9.5.0

如何为委派的第三方区域创建信任链。

为通过 Address Manager 管理的父区域和子区域设置 DNS 区域委派时，Address Manager 会自动为区域创建所有必要的资源记录。但是，Address Manager 不会自动为位于控制之外的第三方服务器上的委派区域创建 DNSSEC 资源记录。在这种情况下，要么将 KSK 公有密钥发送给父区域的管理员，要么可以为委派的子区域手动创建 DS 记录。可以通过指定子区域名称和密钥数据来创建 DS 记录。

例如：管理父区 example.com 并将其部署到托管服务器 ns1.example.com。还想要在第三方服务器 ns10.example.com 上为区域 child.example.com 设置委派。服务器 ns10.example.com 不在控制之内，不由 Address Manager 管理。

在此示例中，就像对控制之外的任何区域一样配置 DNS 区域委派。有关为此示例配置区域委派的信息，请参阅DNS 区域委派。

要为子区域配置信任锚，需要将 DS 记录添加到父区域。

要将 DS 记录添加到区域：

选择 DNS 选项卡。选项卡会记住上次处理的页面，因此请再次选择该选项卡以确保您在配置信息页面上。
从 DNS 选项卡，转至要添加 DS 记录的 DNS 区域。
单击资源记录选项卡。
在资源记录部分下，单击新建并选择通用。
在通用下，设置以下参数：
- 名称 — 选择文本字段旁边的按钮，然后在字段中输入子区域的名称。输入区域名称时，Address Manager 将更新页面名称以显示子区域的完全限定域名。
- 类型 — 从下拉菜单中选择 DS。
- 数据 — 输入区域的 KSK 数据。密钥数据必须采用信任锚格式。
在附加信息下，在评论字段中输入记录的可选描述。评论仅供在 Address Manager 内参考，不会部署到托管服务器。
在切换控制下，根据需要添加注释。
单击确定。