DNSSEC HOWTO

Obsah | Zpět | Dále

I. Zabezpečení dat DNS

2. Zabezpečení zóny DNS

2.1 Úvod

Pokud byla zóna podepsána a její klíč byl nakonfigurován na ověřovacím rekurzivním jmenném serveru, obvykle o ní hovoříme jako o „ostrovu důvěry“. Očividně nemá žádnou zabezpečenou nadřazenou zónu a leží osamoceně v moři jiných nezabezpečených domén. Vytvoření „ostrova důvěry“ je obvykle prvním krokem na cestě stát se součástí zabezpečeného DNS. „Ostrov důvěry“ zůstává „nedůvěryhodný“ pro resolvery, které nemají pro doménu konfigurovaný „pevný bod důvěry“(trust-anchor).

Pokud se vlastník zóny rozhodne vytvořit „ostrov důvěry“ podepíše své zóny a distribuuje „důvěryhodné přístupové body“ systémovým administrátorům, kteří chtějí ověřit data zóny. Jakmile je ostrov důvěry vytvořen, může se stát součástí stromu důvěry prostřednictvím výměny „důvěryhodného přístupového bodu“ s nadřazenou zónou.

Po vytvoření párů klíčů používaných pro podepisování a ověřování chceme podepsat data zóny pro naši vlastní organizaci (např. example.net) a nakonfigurovat caching forwardery naší sítě v organizaci pro ověření dat oproti veřejnému klíči naší organizace.

Dále v textu předpokládáme, že jsou jména domén vaší organizace spravována v jedné zóně. Pokud je správa jména domény delegována na subzóny, viz oddíl Kapitola 3, „Delegování podepisující autority; přechod na globální zabezpečení".

Podepsání dat zóny je úkolem administrátora zóny, konfigurace caching forwarderu je úkolem systémových administrátorů.

Příklady vycházejí z příkladové zóny v oddíle 2.4, obrázek 7.

Obsah | Zpět | Dále