创建 DNSSEC-HSM 签名策略 - BlueCat Integrity - 9.5.0

管理指南
Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

此任务描述如何创建 DNSSEC-HSM 签名策略。

只有在完成以下操作后,才能继续创建 DNSSEC-HSM 签名策略:
  • 已在 Address Manager 中创建了 HSM 配置
  • 已添加 HSM 服务器
  • 已配置 Security World
  • 已将 Address Manager 加入到 Security World
  • 在托管的 BlueCat DNS 服务器上启用了 HSM

DNSSEC-HSM 签名策略包含为 HSM 服务器上的区域定义密钥签名密钥 (KSK) 和区域签名密钥 (ZSK) 所需的所有参数,包括自动密钥反转的设置。

管理员可以从管理 > DNSSEC 策略管理创建和管理 DNSSEC-HSM 签名策略。
注: 可以创建可分配给多个 DNS 区域的单个 DNSSEC 签名策略,也可以创建多个 DNSSEC 签名策略并将每个签名策略分配给指定的 DNS 区域。

要创建 DNSSEC-HSM 签名策略:

  1. 选择管理选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在管理页面上。
  2. 通用下,单击 DNSSEC 策略管理
  3. DNSSEC 签名策略下,单击新建并选择 DNSSEC 签名策略
  4. 通用下,设置以下参数:
    • 策略名称 — 输入命名策略的名称。
    • 签名有效期(天) — 输入 RRSIG 资源记录有效的天数。默认期限为 10 天。
    • 签名重签的间隔时间(天) — 输入 BIND 重新签署区域的签名有效期结束前的天数。默认期限为 2 天。例如,如果签名有效期为 10 天且签名重签时间间隔为 2 天,则 BIND 将在签名有效期的第 8 天撤销该区域。
    • 签名摘要算法 — 表示用于委派签名者 (DS) 记录的算法;选择 SHA1SHA256推荐)。此算法仅在生成 DS 记录时适用。
    • 密钥提供者 — 选择 Entrust HSM 作为密钥提供者。
  5. 区域签名密钥策略下,设置以下参数:
    • 算法 — 选择 DNSSEC-HSM 区域签名的算法:
      算法 描述 添加到区域 支持的 DNS/DHCP 服务器版本
      RSASHA1 将 RSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      DSA* 将 DSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSAMD5 将 RSA 用于身份验证,将 MD5 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSASHA1NSEC3SHA1 将 RSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      DSANSEC3SHA1* 将 DSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSASHA256 将 RSA 用于身份验证,将 SHA-256 用于数据完整性 NSEC 记录 DNS/DHCP 服务器的所有版本
      RSASHA512 将 RSA 用于身份验证,将 SHA-512 用于数据完整性 NSEC 记录 DNS/DHCP 服务器的所有版本
      RSANSEC3SHA256 将 RSA 用于身份验证,将 SHA-256 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      RSANSEC3SHA512 将 RSA 用于身份验证,将 SHA-512 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      ECDSAP256SHA256* 将包含 P256 曲线的 ECDSA 算法用于认证,将 SHA-256 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ECDSAP384SHA384* 将包含 P356 曲线的 ECDSA 算法用于认证,将 SHA-384 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ED25519* 将包含 Ed25519 曲线的 EdDSA 算法用于认证,将 SHA-512 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ED448* 将包含 Ed448 曲线的 EdDSA 算法用于认证,将 SHAKE-256 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      注: 不再建议使用 RSAMD5 算法生成 DNSSEC 密钥。有关更多信息,请参阅 RFC4641、RFC4034 和 RFC3110。有关 DNSSEC 算法的更多信息,请参阅 http://www.iana.org/assignments/dns-sec-alg-numbers
      注: 区域签名密钥和密钥签名密钥必须使用 NSEC 或 NSEC3 记录。不能将 NSEC 用于一个密钥,将 NSEC3 用于另一个密钥。可以为 ZSK 和 KSK 使用不同的算法,但每个密钥的算法必须创建相同类型的资源记录。

      例如,可以为 ZSK 选择 RSASHA1,为 KSK 选择 DSA。但是,不能为 ZSK 选择 RSASHA1,为 KSK 选择 DSANSEC3SHA1。如果为 ZSK 和 KSK 选择不兼容的算法,Address Manager 会显示警告。

    • 长度(位) — 选择 ZSK 的长度,以位为单位(默认情况下为 1024)。此字段中的默认值会根据选择的算法而更改。
    • 覆盖 TTL — 选中此复选框以设置覆盖 ZSK 的默认生存时间。打开文本字段和下拉菜单。在文本字段中输入一个值,然后从下拉菜单中选择一个时间单位。
      注: ZSK 的覆盖 TTL 必须与 KSK 的覆盖 TTL 相同。
    • 有效期(天) — 输入 ZSK 有效的天数(默认情况下为 30)。
    • 重叠区间(天) — 输入有效期结束前的天数,在此期间为密钥反转生成新密钥(默认情况下为 7)。例如,如果有效期(天)为 30 且重叠区间(天)为 2,则在 ZSK 有效期的第 28 天生成新密钥。
    • 反转方法 — 选择一种方法,在密钥反转时使新的 ZSK 可用(默认情况下为预发布)。
      • 预先发布 — 在重叠间隔开始时发布新密钥,以宣传新密钥的可用性。
      • 双重签名 — 在重叠间隔开始时使用现有密钥和新密钥对区域和每个资源记录进行签名。
    • 新的密钥签名间隔时间(天) — 输入有效期结束前的天数,该区域中的资源记录由新密钥签名,同时由旧密钥取消签名(默认情况下为 3)。仅当选择预先发布作为反转方法时,才会显示此参数。
    • 保护类型 — 选择 Entrust HSM 作为密钥提供者时,自动设置为模块
      注: 模块保护不需要密码短语。
  6. 密钥签名密钥策略下,设置以下参数:
    • 算法 — 选择 DNSSEC-HSM 区域签名的算法:
      算法 描述 添加到区域 支持的 DNS/DHCP 服务器版本
      RSASHA1 将 RSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      DSA* 将 DSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSAMD5 将 RSA 用于身份验证,将 MD5 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSASHA1NSEC3SHA1 将 RSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      DSANSEC3SHA1* 将 DSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSASHA256 将 RSA 用于身份验证,将 SHA-256 用于数据完整性 NSEC 记录 DNS/DHCP 服务器的所有版本
      RSASHA512 将 RSA 用于身份验证,将 SHA-512 用于数据完整性 NSEC 记录 DNS/DHCP 服务器的所有版本
      RSANSEC3SHA256 将 RSA 用于身份验证,将 SHA-256 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      RSANSEC3SHA512 将 RSA 用于身份验证,将 SHA-512 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      ECDSAP256SHA256* 将包含 P256 曲线的 ECDSA 算法用于认证,将 SHA-256 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ECDSAP384SHA384* 将包含 P356 曲线的 ECDSA 算法用于认证,将 SHA-384 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ED25519* 将包含 Ed25519 曲线的 EdDSA 算法用于认证,将 SHA-512 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ED448* 将包含 Ed448 曲线的 EdDSA 算法用于认证,将 SHAKE-256 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      注: 不再建议使用 RSAMD5 算法生成 DNSSEC 密钥。有关更多信息,请参阅 RFC4641、RFC4034 和 RFC3110。有关 DNSSEC 算法的更多信息,请参阅 http://www.iana.org/assignments/dns-sec-alg-numbers
      注: 区域签名密钥和密钥签名密钥必须使用 NSEC 或 NSEC3 记录。不能将 NSEC 用于一个密钥,将 NSEC3 用于另一个密钥。可以为 ZSK 和 KSK 使用不同的算法,但每个密钥的算法必须创建相同类型的资源记录。

      例如,可以为 ZSK 选择 RSASHA1,为 KSK 选择 DSA。但是,不能为 ZSK 选择 RSASHA1,为 KSK 选择 DSANSEC3SHA1。如果为 ZSK 和 KSK 选择不兼容的算法,Address Manager 会显示警告。

    • 长度(位) — 选择 KSK 的长度,以位为单位(默认情况下为 2048)。此字段中的默认值会根据选择的算法而更改。
    • 覆盖 TTL — 选中此复选框以设置覆盖 KSK 的默认生存时间值。打开文本字段和下拉列表。在文本字段中输入一个值,然后从下拉菜单中选择一个时间单位。
      注: KSK 的覆盖 TTL 必须与 ZSK 的覆盖 TTL 相同。
    • 有效期(天) — 输入 KSK 有效的天数(默认情况下为 360)。
    • 重叠区间(天) — 输入有效期结束前的天数,在此期间为密钥反转生成新密钥(默认情况下为 14)。例如,如果有效期(天)为 365 且重叠区间(天)为 14,则在 KSK 有效期的第 351 天生成新密钥。
    • 反转方法 — 选择一种方法,在密钥反转时使新的 KSK 可用(默认情况下为双重签名)。
      • 预先发布 — 在重叠间隔开始时发布新密钥,以宣传新密钥的可用性。
      • 双重签名 — 在重叠间隔开始时使用现有密钥和新密钥对区域和每个资源记录进行签名。
    • 新的密钥签名间隔时间(天) — 输入 KSK 有效期结束前的天数,该区域中的资源记录使用新密钥签名,同时由旧密钥取消签名。仅当选择预先发布作为 KSK 反转方法时,才会显示此参数。
    • 保护类型 — 选择 Entrust HSM 作为密钥提供者时,自动设置为模块
      注: 模块保护不需要密码短语。
  7. 切换控制下,根据需要添加注释。
  8. 单击添加
在定义了 DNSSEC-HSM 策略的情况下,下一步是将策略分配给区域。有关详情,请转到分配 DNSSEC-HSM 签名策略中的步骤 2。