DNSSEC:在签署子区域后,我是否需要在链的上游工作并签署每个父区域?

DNSSEC:在签署子区域后,我是否需要在链的上游工作并签署每个父区域?,dns,dnssec,Dns,Dnssec,因此,通过文献和教程学习DNSSEC是相当直接的。我在一个区域签名,并将DS记录交给父区域,在基础教程中,父区域是您的注册者,从而完成链 我想更进一步,能够委派不同的子域。我的理解是,这些子域必须对其区域进行签名,然后将DS记录提供给其父区域。我的问题是,每当一个子域在其区域签名时,我是否需要获取这些DS记录并更新父区域,然后退出父区域,依此类推,直到我在链的上游 例如,这是我目前的理解: 我注册了一个域名,example.com 我委托一个区域production.example.com。我在

因此,通过文献和教程学习DNSSEC是相当直接的。我在一个区域签名,并将DS记录交给父区域,在基础教程中,父区域是您的注册者,从而完成链

我想更进一步,能够委派不同的子域。我的理解是,这些子域必须对其区域进行签名,然后将DS记录提供给其父区域。我的问题是,每当一个子域在其区域签名时,我是否需要获取这些DS记录并更新父区域,然后退出父区域,依此类推,直到我在链的上游

例如,这是我目前的理解:

  • 我注册了一个域名,example.com
  • 我委托一个区域production.example.com。我在区域上签名,并将DS记录交给example.com
  • 在以后的某个日期,我在production.example.com中指定一个名为service1.production.example.com的区域。我签名service1.production.example.com,然后将DS记录传递给production.example.com。然后我辞职production.example.com将其新的DS记录传递给example.com

  • 这是正确的解释吗?

    DS
    需要签署
    production.example.com
    区域中
    service1.production.example.com
    的记录,是的。否则就没有信任链。但除此之外(以及NSEC/NSEC3记录),它不会更改
    production.example.com
    区域中的其他记录。签名是按RRset进行的,而不是全局性的。此外,只有在技术上授权时,签名才真正重要,并且授权并不总是需要
    (dot)。
    service1
    真的是一个委派给它自己的一组名称服务器的区域,与
    生产
    分开吗?