Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

close
keyboard_arrow_left
list Table of Contents
keyboard_arrow_right

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC

date_range 03-Aug-24

Este exemplo mostra como configurar domínios seguros e chaves confiáveis para DNSSEC.

Requisitos

Defina o endereço IP do servidor de nome para que o resolver DNS encaminhe todas as consultas de DNS para DNSSEC em vez de DNS. Veja exemplo: Configuração do DNSSEC para mais informações.

Visão geral

Você pode configurar domínios seguros e atribuir chaves confiáveis aos domínios. As respostas assinadas e não assinadas podem ser validadas quando o DNSSEC está habilitado.

Quando você configura um domínio como um domínio seguro e se o DNSSEC estiver habilitado, todas as respostas não assinadas a esse domínio são ignoradas e o servidor devolve um código de erro SERVFAIL ao cliente para obter as respostas não assinadas. Se o domínio não estiver configurado como um domínio seguro, respostas não assinadas serão aceitas.

Quando o servidor recebe uma resposta assinada, ele verifica se o DNSKEY na resposta corresponde a alguma das chaves confiáveis que estão configuradas. Se encontrar uma correspondência, o servidor aceita a resposta assinada.

Você também pode anexar uma zona raiz de DNS como uma âncora confiável a um domínio seguro para validar as respostas assinadas. Quando o servidor recebe uma resposta assinada, ele consulta a zona raiz de DNS para obter um registro de DS. Quando ele recebe o registro DS, ele verifica se o DNSKEY no registro de DS corresponde ao DNSKEY na resposta assinada. Se encontrar uma correspondência, o servidor aceita a resposta assinada.

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

content_copy zoom_out_map
set system services dns dnssec secure-domains domain1.net
set system services dns dnssec secure-domains domain2.net 
set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh
set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org 

Procedimento passo a passo

Para configurar domínios seguros e chaves confiáveis para DNSSEC:

  1. Configure domain1.net e domain2.net como domínios seguros.

    content_copy zoom_out_map
    [edit]
    user@host# set system services dns dnssec secure-domains domain1.net
    user@host# set system services dns dnssec secure-domains domain2.net
    
  2. Configure chaves confiáveis para domain1.net.

    content_copy zoom_out_map
    [edit]
    user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
    
  3. Conecte uma zona raiz div.isc.org como uma âncora confiável a um domínio seguro.

    content_copy zoom_out_map
    [edit]
    user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
    

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show system services comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

content_copy zoom_out_map
    dns {
        dnssec {
            trusted-keys {
                key domain1.net.ABC123ABCh; ## SECRET-DATA
            }
            dlv {
                domain domain2.net trusted-anchor dlv.isc.org;
            }
            secure-domains {
                domain1.net;
                domain2.net;
            }
        }
    }

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

external-footer-nav