【问题标题】:How does dnssec validation works in default coredns provided by kubernetesdnssec 验证如何在 kubernetes 提供的默认 coredns 中工作
【发布时间】:2022-08-03 13:23:14
【问题描述】:

我正在探索 kubernetes coredns 中可用的plugin options,尤其是在 dnssec 验证方面。

  1. coredns 的默认 Corefile 没有 dnssec 插件。默认的 coredns 是否会进行 dnssec 验证?
  2. 有人可以举个例子来使用 dnssec-keygen 生成密钥并在 dnssec 插件中使用它。需要传递哪些参数?应该用什么代替 ECDSAP256SHA256 和 zonename(见下文)。

    key file 表示应该从磁盘读取 KEY 文件。当指定多个密钥时,RRsets 将使用所有密钥进行签名。可以使用 dnssec-keygen 生成密钥:dnssec-keygen -a ECDSAP256SHA256 zonename。

    由于我是 coredns 配置dnssec 的新手,如果有人能解释一下这将非常有帮助。提前致谢!!

    标签: kubernetes coredns


    【解决方案1】:

    CoreDNS 不会进行 DNSSEC 验证,因为如果未签名的回复,DNSSEC 插件将对签名很有用。所有验证都应该在下游进行,更有可能是客户端。

    甚至 CoreDNS 也不会进行代理 DNSSEC 签名验证。用于转发配置的插件在向上游转发查询时无法请求 DNSSEC,并验证响应是否具有有效的 DNSSEC 签名。请参考此document

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-10-13
      • 1970-01-01
      • 1970-01-01
      • 2017-01-26
      • 2018-06-09
      相关资源
      最近更新 更多