DNSSEC 签名区域导致严重故障

DNSSEC 签名区域导致严重故障

我在 VM-env 中有一个可用的 DNS,用于测试和学习目的。它是一台由根域和几个子域组成的完整服务器。

我已经添加

dnssec-enable yes;

放入named.conf,还创建了ZSV和KSK密钥并将它们附加到我的一个子域中。

我尝试走捷径,只签署一个域名。假设我有

home.garage.top

作为我的顶级域名和子域名,并且我想签署 home,并且只签署 home。我使用

dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051

这应该生成 home.db.signed 或 home.signed,但实际上没有。我得到的只是

dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone
dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone

我究竟做错了什么?

答案1

您指定的原点是home.db(使用-o)。这实际上是区域的名称吗?听起来区域的名称更像是home.garage.top

这种不匹配的情况与您收到的错误消息相符。


但是,作为关于 DNSSEC 和 BIND 的一般建议,我建议使用内置功能进行区域维护,而不是手动调用dnssec-signzone(并以某种方式安排)。

查看auto-dnssec maintain以及可能的inline-signing yes设置本指南

相关内容