我正在尝试为我的域设置 DNSSEC。一切似乎都正常,但我收到以下错误:
在子进程中发现 DNSKEY,但在父进程中未发现 DS。
检查父区域中的 DS 记录
我们发现您的 DNSKEY 记录均未在父区域中发布。所有 KSK(密钥签名密钥)都应具有相应的 DS 记录,其中包含父区域中密钥的摘要。
建议
在父 DNS 区域中发布所有 DNSKEY (KSK) 记录的 DS 记录。这将建立从父区域到您的区域的信任链。
谁知道可能是什么问题?
我使用 webmin 进行 BIND 配置,它有一个名为 dnssec 验证的选项,我认为它是通过https://dlv.isc.org/。
我对此进行了截图:
答案1
问题正如所引用的文字所示。
DNSSEC 签名数据的验证需要以下任一条件:
- 从根区域到您自己的完整信任链,或者
- 为您的区域配置特定的“信任锚”
在大多数情况下,既然根节点已经实际签名,DNSKEY
则前者是首选。您的区域中有一个,您应该将DS
记录提交给您的父区域管理员。然后,他们使用自己的密钥对该记录进行签名,同样,他们自己的DS
记录也会发送到他们的父区域,该父区域可能是根节点。
但是,这要求您的域和根之间的每个 DNS 级别也具有 DNSSEC。
您的域名是什么?您的父域名很可能还不支持 DNSSEC。
如果没有,那么下一个最佳选择是将您的 DS 记录提交到 ISC 的“DLV”存储库。这是一个得到良好支持的 DNS 功能,它允许为尚未拥有完全安全的信任链的域安全地分发信任锚。在那里添加您的记录将允许其他人验证您的域名。
编辑 ISC 的 DLV 不再运行。