DNSSEC + Bind: dnskey признан недействительным
Я пытаюсь включить DNSSEC на моей авторитетной машине DNS Bind. До сих пор я сделал следующее руководство:
Создайте ключи KSK и ZSK:
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE zonename
dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -f KSK zonename
Включите ключ pub в зону и подпишите зону:
dnssec-signzone -o zonename -k KSKfile zonefile ZSKfile
Добавьте подписанную зону вместо старой в named.conf
- Перезапустить Bind
Я не знаю, пропустил ли я что-то, но регистратор, поддерживающий DNSSEC, постоянно говорит мне:
Error Signature DNSKEY entries is not valid.
Error Signature SOA entry is not valid.
Кто-нибудь знает как это решить? Есть ли онлайн-инструмент DNSSEC, который отображает больше информации о состоянии dnssec?
3 ответа
Мне известны три онлайн-шашки DNSSEC:
Из вашего вопроса неясно, что именно вы запрашиваете у своего регистратора. Если вы размещаете домен на своем собственном компьютере (что, по-видимому, имеет место), то все, что вы должны отправить своему регистратору, это ваше DS запись, чтобы они могли отправить его в соответствующий реестр.
Кстати, вы включили оба открытых ключа в файл зоны перед подписанием? Вы упоминаете только один ключ выше во втором пункте маркированного списка. Помимо того, что вы сделали, выглядит хорошо.
Я чувствую себя обязанным ответить, поскольку я написал учебник, которому вы следуете.:)
Без дополнительной информации (например, имя зоны) сообщения об ошибках, предоставленные вашим регистратором, являются слишком общими, чтобы дать какое-либо представление о том, что является реальной проблемой.
Если вы предоставите дополнительную информацию, я посмотрю, как это выглядит с этой стороны...
Если вы уже решили проблему, я был бы весьма заинтересован в том, что вызвало проблему.
Я управляю списком онлайн-инструментов проверки DNS, уделяя особое внимание DNSSEC.