dnssec-keygen で生成されたキーを使用して ddns (動的 dns) をセットアップしようとしています。-n USER "username" を使用しました。これにより、キーの使用が "username" に制限されると考えました。ただし、キーを持っている人なら誰でも ddns 更新を実行できますが、これは私が望んでいることではありません。
dnssec-keygen の USER 所有者タイプの重要性を理解したいと思います。
質問する
407 次
1 に答える
0
ユーザー名の種類は、電子メールで使用されるトランスポート層セキュリティ (TLS) で使用される証明書を承認するための証明書を指定するためのものです。ビジー状態の電子メール サーバーは、認証局を介して TLS 証明書を追跡して認証するために必要な余分な処理を行う余裕がないという考えです。DNSSEC レコードを書き込むことにより、メール サーバーは、接続を検証するために 1 回の DNS ルックアップを行うだけで済みます。
-n オプションは、生成された鍵の使用方法を指定します。nametype は、ZONE、HOST、ENTITY、または USER のいずれかで、それぞれゾーン、ホスト、エンティティ、またはユーザーの署名にキーが使用されることを示します。
-p オプションは、生成されたキーのプロトコル値を protocol-value に設定します。デフォルトは、タイプ USER のキーの場合は 2 (電子メール)、その他すべてのキー タイプの場合は 3 (DNSSEC) です。
完全に明確ではない理由により、彼らは電子メールやその他の用途を USER という名前でグループ化することにしました。
DANEのウィキペディアページは良い出発点です。
名前が付けられたエンティティ ( DANE ) のトランスポート層セキュリティ (TLS) RFC 7672 の Opportunistic DNS-Based Authentication による SMTP セキュリティは、その名前が示すように理解するのが難しいです。しかし、いくつかの有用な詳細な概念があり、基本的な問題が導入部で非常によく説明されています。
残念ながら、DNS には、探しているような粒度がありません。誰かに更新するキーを渡した場合、その人は更新するようになります。DNS には、より複雑なことによって制限するプロセスがありません。
于 2016-03-11T18:04:08.350 に答える