DNSSEC-HSM 通过在第三方 HSM 服务器而不是 BlueCat 服务器上生成、签名和存储加密密钥来增强安全性级别。HSM 设备的制造符合严格的安全标准,并使用包含篡改检测和篡改保护的机箱。
在 Address Manager 用户界面中对区域进行签名时,Address Manager 会向 HSM 服务器发送请求以生成密钥。HSM 服务器生成密钥并在内部存储它们。然后它向 Address Manager 返回操作的结果(成功),并发送 Key Blob,它是指向 HSM 数据库中私钥的指针,包括在签名区域发布为 DNSKEY(KSK 或 ZSK,取决于来自 Address Manager 的原始请求)的新生成密钥的公共部分。
只要密钥处于活动状态,并且每次作为完整 DNS 部署的一部分发送到 DNS/DHCP 服务器,密钥的公共部分就存储在 Address Manager数据库中。与 DNSKEY 一起,每个完整的 DNS 部署都会发送 DNS 服务使用的 Key Blob,以调用 HSM 使用该密钥执行所有必要的操作(初始区域签名、签名重新生成、添加记录、重建 NSEC/NSEC3 链)。
下图简要介绍了使用 HSM 的 DNSSEC 区域签名流程:
- Address Manager 加入 HSM Security World 并与 RFS/Security World 文件同步。
可以选择使用 RFS 或通过将 Security World 文件上传到 Address Manager 来配置 Security World。将 Address Manager 加入 HSM Security World 仅在初始 HSM 配置设置时发生。RFS 同步配置为“无认证”,这是 DNSSEC 和 HSM 故障切换的首选状态。
- Address Manager 请求 HSM 服务器生成密钥。
- HSM 服务器将密钥(ZSK 或 KSK,取决于来自 Address Manager 的请求)和加密密钥数据 (Key Blob) 发送到 Address Manager 以进行部署。公钥在 Address Manager 数据库中存储和备份。私钥仍保存在 HSM 服务器上。
- DNS 服务器加入 HSM Security World 并提取 Security World 文件。将托管 DNS 服务器加入 HSM Security World 时,会在 DNS 服务器上启用 HSM 支持。
- Address Manager 将主要区域数据和 Key Blob 部署到托管 DNS 服务器或服务器。
- DNS 服务器将区域数据和 Key Blob 发送到 HSM 服务器以进行区域签名。
- HSM 服务器执行区域签名并将签名记录返回到 DNS 服务器。
- DNS 服务器将部署状态发送到 Address Manager。