创建 DNSSEC 签名策略 - BlueCat Integrity - 9.5.0

管理指南
Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

DNSSEC 签名策略允许在一个位置配置 DNSSEC 设置,然后将策略应用于正向和反向区域,从而简化管理。DNSSEC 签名策略包含定义区域的密钥签名密钥和区域签名密钥所需的所有参数,包括自动密钥反转的设置。

管理员可以从管理选项卡上的 DNSSEC 策略管理链接创建和管理 DNSSEC 签名策略。可以创建多个签名策略来创建 KSK 和 ZSK 以满足每个区域的独特要求,但区域在任何给定时间只能链接到单个签名策略。如果需要配置 DNSSEC-HSM 签名策略,请参阅创建 DNSSEC-HSM 签名策略

要创建 DNSSEC 签名策略:

  1. 选择管理选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在管理页面上。
  2. 通用下,单击 DNSSEC 策略管理。将打开 DNSSEC 策略管理页面。
  3. DNSSEC 签名策略下,单击新建并选择 DNSSEC 签名策略
  4. 通用下,设置以下参数:
    • 策略名称 — 输入命名策略的名称。
    • 签名有效期(天) — 输入 RRSIG 资源记录有效的天数。默认期限为 10 天。
    • 签名重签的间隔时间(天) — 输入 BIND 重新签署区域的签名有效期结束前的天数。默认期限为 2 天。例如,如果签名有效期为 10 天且签名重签时间间隔为 2 天,则 BIND 将在签名有效期的第 8 天撤销该区域。
    • 签名摘要算法 — 表示用于委派签名者 (DS) 记录的算法;选择 SHA1SHA256推荐)或 SHA384。此算法仅在生成 DS 记录时适用。
  5. 区域签名密钥策略下,设置以下参数:
    • 算法 — 选择区域签名密钥 (ZSK) 的算法:
      注:
      • DNS/DHCP 服务器版本 9.2.2 或更高版本不支持 RSASHA1、RSAMD5、DSA 和 DSANSEC3SHA1 算法,因为 BIND 版本已针对 9.2.2+ 进行升级。但可以继续将这些算法用于 DNS/DHCP 服务器 v9.2.0/9.2.1 和 v9.1.0/9.1.1。不过,BlueCat 建议将 DNSSEC 策略更改为使用 v9.2.2+ 支持的其他算法,以便于未来进行升级。
      • 如果要使用 DNSSEC-HSM 配置,BlueCat 建议使用 RSA 算法。
      算法 描述 添加到区域 支持的 DNS/DHCP 服务器版本
      RSASHA1 将 RSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      DSA* 将 DSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSAMD5 将 RSA 用于身份验证,将 MD5 用于数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSASHA1NSEC3SHA1 将 RSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      DSANSEC3SHA1* 将 DSA 用于身份验证,将 SHA-1 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器 v9.2.1 及更低版本(9.2.2+ 不支持)
      RSASHA256 将 RSA 用于身份验证,将 SHA-256 用于数据完整性 NSEC 记录 DNS/DHCP 服务器的所有版本
      RSASHA512 将 RSA 用于身份验证,将 SHA-512 用于数据完整性 NSEC 记录 DNS/DHCP 服务器的所有版本
      RSANSEC3SHA256 将 RSA 用于身份验证,将 SHA-256 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      RSANSEC3SHA512 将 RSA 用于身份验证,将 SHA-512 用于数据完整性 NSEC3 记录 DNS/DHCP 服务器的所有版本
      ECDSAP256SHA256* 将包含 P256 曲线的 ECDSA 算法用于认证,将 SHA-256 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ECDSAP384SHA384* 将包含 P356 曲线的 ECDSA 算法用于认证,将 SHA-384 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ED25519* 将包含 Ed25519 曲线的 EdDSA 算法用于认证,将 SHA-512 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      ED448* 将包含 Ed448 曲线的 EdDSA 算法用于认证,将 SHAKE-256 用于实现数据完整性 NSEC 记录 DNS/DHCP 服务器 v9.3.0 及更高版本
      注: *这些算法仅在选择 Address Manager 作为密钥提供程序时才可用。
      警告: 目前对 EdDSA 算法的支持不如 ECDSA 广泛。如果使用 EdDSA 进行发布,一些用户可能会失去 DNSSEC 的优势,因为不识别 EdDSA 算法的递归解析器会将 DNS 响应视为未签名。建议采用 ECDSA 算法,以确保在当前的 DNS 基础设施中获得更广泛的支持。
      注: 不再建议使用 RSAMD5 算法生成 DNSSEC 密钥。有关更多信息,请参阅 RFC4641、RFC4034 和 RFC3110。有关 DNSSEC 算法的更多信息,请参阅 http://www.iana.org/assignments/dns-sec-alg-numbers
      注: 区域签名密钥和密钥签名密钥必须使用 NSEC 或 NSEC3 记录。不能将 NSEC 用于一个密钥,将 NSEC3 用于另一个密钥。可以为 ZSK 和 KSK 使用不同的算法,但每个密钥的算法必须创建相同类型的资源记录。

      例如,可以为 ZSK 选择 RSASHA1,为 KSK 选择 DSA。但是,不能为 ZSK 选择 RSASHA1,为 KSK 选择 DSANSEC3SHA1。如果为 ZSK 和 KSK 选择不兼容的算法,Address Manager 会显示警告。

    • 长度(位) — 选择 ZSK 的长度,以位为单位(默认情况下为 1024)。此字段中的默认值会根据选择的算法而更改。
    • 覆盖 TTL — 选中此复选框以设置覆盖 ZSK 的默认生存时间。打开文本字段和下拉菜单。在文本字段中输入一个值,然后从下拉菜单中选择一个时间单位。
      注: ZSK 的覆盖 TTL 必须与 KSK 的覆盖 TTL 相同。
    • 有效期(天) — 输入 ZSK 有效的天数(默认情况下为 30)。
    • 重叠区间(天) — 输入有效期结束前的天数,在此期间为密钥反转生成新密钥(默认情况下为 7)。例如,如果有效期(天)为 30 且重叠区间(天)为 2,则在 ZSK 有效期的第 28 天生成新密钥。
    • 反转方法 — 选择一种方法,在密钥反转时使新的 ZSK 可用。
      • 预先发布 — 在重叠间隔开始时发布新密钥,以宣传新密钥的可用性。
      • 双重签名 — 在重叠间隔开始时使用现有密钥和新密钥对区域和每个资源记录进行签名。
    • 新的密钥签名间隔时间(天) — 输入有效期结束前的天数,该区域中的资源记录由新密钥签名,同时由旧密钥取消签名(默认情况下为 3)。仅当选择预先发布作为反转方法时,才会显示此参数。
    • 保护类型 — 仅当选择 Entrust HSM 作为密钥提供者时才自动设置为模块(如果选择 Address Manager 作为密钥提供者,则选项不可用)。
  6. 切换控制下,根据需要添加注释。
  7. 单击添加
在定义了 DNSSEC 签名策略的情况下,下一步是将策略分配给正向或反向区域。