Я играю с DNSSEC для своего домена, мой DNS-сервер является двойным (с подходящими ограничениями на то, что можно запрашивать в общедоступном интерфейсе) и охватывает как мой общедоступный домен, так и частный домен верхнего уровня (.loc), который я использовать в моей локальной сети.
Я изо всех сил пытаюсь понять, как добавить запись DS для домена .loc в мою конфигурацию bind9. Поскольку это домен верхнего уровня, в нем обычно указываются корневые серверы.
Могу ли я добавить его в свой файл зоны перед оператором $ ORIGIN?
Вы действительно не можете добавить DS запись для чего-то, что не является частью дерева, поскольку для такой зоны нет надлежащих отношений родитель / потомок.
Должно быть возможно использовать trusted-keys на ваших внутренних проверяющих преобразователях, чтобы переопределить ключи (или их отсутствие), указанные в DNS.
Однако стоит отметить, что простой выбор произвольного TLD и его внутреннее использование - не лучшая практика. Особенно сейчас, когда шлюзы открыты, а новые общедоступные TLD регистрируются постоянно.