我在 VM-env 中有一个可用的 DNS,用于测试和学习目的。它是一台由根域和几个子域组成的完整服务器。
我已经添加
dnssec-enable yes;
放入named.conf,还创建了ZSV和KSK密钥并将它们附加到我的一个子域中。
我尝试走捷径,只签署一个域名。假设我有
home.garage.top
作为我的顶级域名和子域名,并且我想签署 home,并且只签署 home。我使用
dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051
这应该生成 home.db.signed 或 home.signed,但实际上没有。我得到的只是
dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone
dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone
我究竟做错了什么?
答案1
您指定的原点是home.db(使用-o)。这实际上是区域的名称吗?听起来区域的名称更像是home.garage.top?
这种不匹配的情况与您收到的错误消息相符。
但是,作为关于 DNSSEC 和 BIND 的一般建议,我建议使用内置功能进行区域维护,而不是手动调用dnssec-signzone(并以某种方式安排)。