我正在尝试使用dnssec-keygen生成的密钥设置ddns(动态dns)。我使用了-n USER“username”,认为这会将密钥的使用限制为“用户名”。但是,拥有密钥的任何人都可以进行ddns更新,这不是我想要的。
我想了解用户所有者类型在dnssec-keygen中的重要性。
答案 0 :(得分:0)
用户名类型用于指定用于授权用于电子邮件的传输层安全性(TLS)的证书的证书。我们的想法是,繁忙的电子邮件服务器无法承担通过其证书颁发机构跟踪和验证TLS证书所需的额外处理。通过编写DNSSEC记录,邮件服务器只需要进行单个DNS查找即可验证连接。
-n选项指定如何使用生成的密钥。 nametype可以是ZONE,HOST,ENTITY或USER,以指示密钥将分别用于对区域,主机,实体或用户进行签名。
-p选项将生成的密钥的协议值设置为协议值。对于USER类型的密钥,默认值为2(电子邮件);对于所有其他密钥类型,默认值为3(DNSSEC)。
由于原因并未完全明确,他们决定以USER名称对电子邮件和其他用途进行分组。
DANE的wikipedia页面是一个良好的开端。
相当简洁的标题为SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) RFC 7672正如其名称所暗示的那样难以理解!但它确实有一些有用的深度概念,并在介绍中很好地解释了基本问题。
不幸的是,DNS没有您正在寻找的那种粒度。如果你给某人一个更新密钥,那么他们就会更新,DNS没有一个过程来限制任何更复杂的东西。