互联网中的绝大多数DNS服务器(超过95%)都是基于BIND域名解析服务搭建的,而bind服务程序为了提供安全的解析服务,已经对TSIG RFC 2845加密机制提供了支持。
相关介绍
· TSIG
TSIG主要是利用了密码编码的方式来保护区域信息的传输(Zone Transfer),即TSIG加密机制保证了DNS服务器之间传输域名区域信息的安全性。
· 加密算法
RSAMD5(RSA)、RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA等
1 :主服务器配置(IP:192.168.1.105)
1.1 安装bind-chroot服务
[root@xiudaochengxian~]#yum -y install bind-chroot
Complete!
1.2 生成密钥
[root@xiudaochengxian~]#cd /var/named
[root@xiudaochengxian named]#dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slaves
Kmaster-slaves.+157+13976
1.3 查看密钥文件
公钥文件
[root@xiudaochengxian named]#cat Kmaster-slaves.+157+13976.key
master-slaves. IN KEY 512 3 157 TrpBa39MrCPHidhKJ9uttQ==
私钥文件【记录Key参数的值,等会写入传输配置文件中(TrpBa39MrCPHidhKJ9uttQ==)】
[root@xiudaochengxian named]# cat Kmaster-slaves.+157+13976.private
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: TrpBa39MrCPHidhKJ9uttQ==
Bits: AAA=
Created: 20210719022022
Publish: 20210719022022
Activate: 20210719022022
1.4进入bind保存配置文件的目录
[root@xiudaochengxian named]# cd chroot/etc/
1.5编辑认证文件
[root@xiudaochengxian etc]# vim transfer.key
key "master-slave" {