自 9.9 版起,Bind 支持内联签名,但我找不到任何有关如何使其与 NSEC3 配合使用的信息。我无法使用 nsupdate 添加 NSEC3PARAM RR:我认为这是因为内联签名而正常,但我无法将其参数化为内联签名。
有人设置并测试过它吗,或者有什么想法吗?
谢谢您的回答。
答案1
最后我在 bind-user 邮件列表中找到了答案。
我应该使用下一个命令,而不是使用 nsupdate:
rndc signing -nsec3param 1 1 100 $(head -c 512 /dev/random | sha1sum | cut -b 1-16) <zonename>
希望这个问题将来能对某人有所帮助。