我正在尝试在权威 DNS 绑定机器上启用 DNSSEC。到目前为止,我已完成以下操作教程:
生成 KSK 和 ZSK 密钥:
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE 区域名称
dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -f KSK 区域名称
将公钥包含在区域中并对该区域进行签名:
dnssec-signzone -o 区域名称 -k KSKfile 区域文件 ZSKfile
在 named.conf 中添加已签名的区域来代替旧区域
- 重启绑定
我不知道我是否遗漏了什么,但支持 DNSSEC 的注册商一直告诉我:
Error Signature DNSKEY entries is not valid.
Error Signature SOA entry is not valid.
有人知道如何解决这个问题吗?是否有任何在线 DNSSEC 工具可以显示有关 dnssec 状态的更多信息?
答案1
我知道有三种 DNSSEC 在线检查器:
您的问题不清楚您到底要求注册商做什么。如果您在自己的机器上托管域名(看起来是这样),那么您应该向注册商发送的只是您的DS记录,以便他们可以将其发送到相应的注册中心。
顺便问一下,你有没有包括两个都在对区域文件进行签名之前,您是否在区域文件中添加了公钥?您在上面的第二点中只提到了一个密钥。除此之外,您所做的一切看起来都还不错。
答案2
我管理着在线DNS检查工具,特别强调 DNSSEC。