将 DS 记录添加到 DNS 中的父级

将 DS 记录添加到 DNS 中的父级

我正在尝试为我的域设置 DNSSEC。一切似乎都正常,但我收到以下错误:

在子进程中发现 DNSKEY,但在父进程中未发现 DS。

检查父区域中的 DS 记录

我们发现您的 DNSKEY 记录均未在父区域中发布。所有 KSK(密钥签名密钥)都应具有相应的 DS 记录,其中包含父区域中密钥的摘要。

建议
在父 DNS 区域中发布所有 DNSKEY (KSK) 记录的 DS 记录。这将建立从父区域到您的区域的信任链。

谁知道可能是什么问题?

我使用 webmin 进行 BIND 配置,它有一个名为 dnssec 验证的选项,我认为它是通过https://dlv.isc.org/

我对此进行了截图:

替代文本

答案1

问题正如所引用的文字所示。

DNSSEC 签名数据的验证需要以下任一条件:

  1. 从根区域到您自己的完整信任链,或者
  2. 为您的区域配置特定的“信任锚”

在大多数情况下,既然根节点已经实际签名,DNSKEY则前者是首选。您的区域中有一个,您应该将DS记录提交给您的父区域管理员。然后,他们使用自己的密钥对该记录进行签名,同样,他们自己的DS记录也会发送到他们的父区域,该父区域可能是根节点。

但是,这要求您的域和根之间的每个 DNS 级别也具有 DNSSEC。

您的域名是什么?您的父域名很可能还不支持 DNSSEC。

如果没有,那么下一个最佳选择是将您的 DS 记录提交到 ISC 的“DLV”存储库。这是一个得到良好支持的 DNS 功能,它允许为尚未拥有完全安全的信任链的域安全地分发信任锚。在那里添加您的记录将允许其他人验证您的域名。

编辑 ISC 的 DLV 不再运行。

相关内容