主要观点：介绍了使用 BIND 的dnssec-policy功能为当前未签名的 DNS 区域签名的相关内容，包括dnssec-policy的介绍、与旧的auto-dnssec的区别、默认策略、签名过程、观察日志和状态、等待状态转换、发布 DS 记录以及日志和时间等方面。
关键信息：

• dnssec-policy可自动化管理区域的 DNSSEC 密钥并保持区域签名，可在named.conf顶层添加dnssec-policy块定义策略。
• 与auto-dnssec相比，DNSSEC 密钥现在受named控制，无需使用dnssec-keygen和dnssec-settime命令。
• 有预声明的dnssec-policy default策略，可根据需要声明自己的策略。
• 签名过程包括添加dnssec-policy default语句、进行编辑后运行rndc reconfig命令，可在日志中观察到相关信息。
• dnssec-policy状态有隐藏（HIDDEN）、传闻（RUMOURED）、无处不在（OMNIPRESENT）、非保留（UNRETENTIVE）等，需等待状态转换完成。
• 发布 DS 记录需进入密钥目录运行dnssec-dsfromkey命令，并通知父区域管理员，之后通知dnssec-policy machinery 已完成。
  重要细节：
• named.conf中zone块内可添加dnssec-policy语句指定应用的策略，dnssec-policy不负责维护父区域的 DS 记录。
• 签名时区域需有内联签名或动态更新，签名后可通过rndc dnssec -status命令查询状态。
• dnssec-policy默认日志较少，可通过rndc trace 3增加named的调试级别获取详细信息，包括状态转换时间约束等。