下面介绍了 Address Manager 与启用了 DNSSEC 的 DNS 服务器之间的交互。
此图提供了使用 Address Manager 和 DNS 服务器的 DNSSEC 的简化外观。
在部署之前,必须使用 Address Manager 用户界面完成以下操作:
- 创建 DNSSEC 签名策略。
- 将 DNSSEC 签名策略分配给区域。
通过为区域签名设置和配置 DNSSEC 签名策略,现在可以部署 DNS。
- 从 Address Manager 用户界面,使用 DNSSEC 签名策略部署 DNS。
- DNS 服务器通过创建 RRSIG、NSEC/NSEC3 记录和注入 DNSKEY 来对区域进行签名。 注:
- 私有密钥和公有密钥都存储在 DNS 服务器和 Address Manager 上。
- DNS 服务器上的动态更新将通过通知推送到 Address Manager。
- 密钥反转在 DNS 服务器上发生,由紧急密钥反转、手动密钥反转或新的 DNSSEC 签名策略触发。