DNSSEC:在签署子区域后,我是否需要在链的上游工作并签署每个父区域?
因此,通过文献和教程学习DNSSEC是相当直接的。我在一个区域签名,并将DS记录交给父区域,在基础教程中,父区域是您的注册者,从而完成链 我想更进一步,能够委派不同的子域。我的理解是,这些子域必须对其区域进行签名,然后将DS记录提供给其父区域。我的问题是,每当一个子域在其区域签名时,我是否需要获取这些DS记录并更新父区域,然后退出父区域,依此类推,直到我在链的上游 例如,这是我目前的理解:DNSSEC:在签署子区域后,我是否需要在链的上游工作并签署每个父区域?,dns,dnssec,Dns,Dnssec,因此,通过文献和教程学习DNSSEC是相当直接的。我在一个区域签名,并将DS记录交给父区域,在基础教程中,父区域是您的注册者,从而完成链 我想更进一步,能够委派不同的子域。我的理解是,这些子域必须对其区域进行签名,然后将DS记录提供给其父区域。我的问题是,每当一个子域在其区域签名时,我是否需要获取这些DS记录并更新父区域,然后退出父区域,依此类推,直到我在链的上游 例如,这是我目前的理解: 我注册了一个域名,example.com 我委托一个区域production.example.com。我在
这是正确的解释吗?
DS
需要签署production.example.com
区域中service1.production.example.com
的记录,是的。否则就没有信任链。但除此之外(以及NSEC/NSEC3记录),它不会更改production.example.com
区域中的其他记录。签名是按RRset进行的,而不是全局性的。此外,只有在技术上授权时,签名才真正重要,并且授权并不总是需要
(dot)。service1
真的是一个委派给它自己的一组名称服务器的区域,与生产
分开吗?