Как настроить Unbound для проверки сертификата DNS поверх TLS-сервера?

2240
Bardi Harborow

Я настроил Unbound для использования DNS через TLS, используя следующую конфигурацию. Как я могу настроить Unbound для проверки восходящего сертификата по имени хоста?

forward-zone: name: "." forward-addr: 1.1.1.1@853 forward-addr: 1.0.0.1@853 forward-addr: 2606:4700:4700::1111@853 forward-addr: 2606:4700:4700::1001@853 forward-tls-upstream: yes
1

3 ответа на вопрос

3
Bardi Harborow

Сообщение об ошибке для добавления поддержки проверки сертификата вышестоящего DNS-сервера было исправлено 19 апреля 2018 года.

Адаптируем пример из комментария 9 :

server: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" forward-zone: name: "." forward-addr: 1.1.1.1#cloudflare-dns.com forward-addr: 1.0.0.1#cloudflare-dns.com forward-addr: 2606:4700:4700::1111#cloudflare-dns.com forward-addr: 2606:4700:4700::1001#cloudflare-dns.com forward-tls-upstream: yes

Также есть объяснение того, как это работает - имя хештега позволяет установить имя аутентификации tls для зон-заглушек и с командами прямого управления unbound-control. Вокруг «@» и «#» не должно быть пробелов.

Благодарю @jwh, но, видимо, я не могу отредактировать их ответ, чтобы включить пример. Bardi Harborow 6 лет назад 0
2
NiklasG

К сожалению, вы не можете. Существует неразрешенная ошибка для этого:

unbound с использованием TLS в конфигурации пересылки не проверяет сертификат сервера

Так что с Unbounds DNS over TLS ваши запросы могут быть перехвачены.

1
jwh

Ошибка «unbound с использованием TLS в конфигурации пересылки не проверяет сертификат сервера» была устранена 19 апреля, см. Комментарий 9 .

Как это, немного ответ только ссылка. Было бы полезно интегрировать некоторую информацию из соответствующего электронного письма в ваш пост. Journeyman Geek 6 лет назад 0

Похожие вопросы