为什么 DNSSEC 密钥标签始终是 2371？

你的问题不清楚。是谁要求的？

所谓的“密钥标签”是RRSIG记录中用于识别用于签署记录并生成此RRSIG记录的密钥，请参阅 RFC 4034 §3。通常，在区域中的给定时间点只有一个区域签名密钥 (ZSK)，因此所有 RRSIG 记录确实具有相同的密钥标签。

如果您使用的是同一个密钥，则密钥标签是相同的。密钥标签或密钥 ID 引用密钥。这不是一个好的引用，因为存在冲突（空间按定义很小，只有 2 个字节，因此理论上有 65536 个值，但实际上由于算法和实现中的错误，实际值不到一半），这只是为了让系统管理员的工作更轻松。

您的值2371只是众多值中的一个随机值，它没有特定的含义，但是您在问题中完全没有给出任何背景信息...您在谈论哪些域？您是权威的名称服务器运营商还是只是在查看其他人的域名？您是否设置了 DPS 来了解密钥、密钥轮换、签名等？

您可以使用相同的密钥配置多个域，但不建议这样做，因为您的所有域将共享命运，需要同时更改相应的 DS 记录（如果密钥是 KSK）等。

即使对于单个域，您的 ZSK 也应该定期更改（通常每月或两个月是频繁的值），然后RRSIG会出现引用新密钥的新记录，因此会带有新的密钥标签。

唯一很少改变的关键标签 (id) 是根区上的标签。它们不是从不改变，而是很少改变。它们一年前就变了。但它们可能不会很快再变。它们目前是 22545 和 20326：

$ dig +multi . DNSKEY

; <<>> DiG 9.11.5-P1-1ubuntu2.5-Ubuntu <<>> +multi . DNSKEY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41551
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;.          IN DNSKEY

;; ANSWER SECTION:
.           22845 IN DNSKEY 256 3 8 (
                AwEAAbPwrxwtOMENWvblQbUFwBllR7ZtXsu9rg/Ldykl
                Ks9gU2GQTeOc59XjhuAPZ4WrT09z6YPL+vzIIJqnG3Hi
                ru7hFUQ4pH0qsLNxrsuZrZYmXAKoVa9SXL1Ap0LygwrI
                ugEk1G4v7Rk/Alt1jLUIE+ZymGtSEhIuGQdXrEmj3ffz
                XY13H42X4Ja3vJTn/WIQOXY7vwHXGDypSh9j0Tt0hknF
                1yVJCrIpfkhFWihMKNdMzMprD4bV+PDLRA5YSn3OPIeU
                nRn9qBUCN11LXQKb+W3Jg+m/5xQRQJzJ/qXgDh1+aN+M
                c9AstP29Y/ZLFmF6cKtL2zoUMN5I5QymeSkJJzc=
                ) ; ZSK; alg = RSASHA256 ; key id = 22545
.           22845 IN DNSKEY 257 3 8 (
                AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTO
                iW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN
                7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5
                LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8
                efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7
                pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLY
                A4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws
                9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
                ) ; KSK; alg = RSASHA256 ; key id = 20326

如果您在此区域中请求 RRSIG 记录，您会发现引用了以下其中一个 ID：

$ dig com. NS +dnssec +multi @a.root-servers.net

[...]

com.            86400 IN RRSIG DS 8 1 86400 (
                20191113170000 20191031160000 22545 .
                UEC85qqrUaAML/8TSKs6971lvQAI0jCFAEamLCV2e5N/
                wnnY2xsUF3TEWBfBB7VByxpRzzB87NuWNGh9jf6wlx7p
                QQ/FidKxV+lk3LGDb6aqfM9ACRKlSm6xQb9k4Y21A2aO
                lDsHXdfJaKsUvw7AHS6WqBDBsh6AKuDCL5zm/E03UP2A
                8cDhVr1yNnvcY48il3JLAYsSMRviID/Q6lND446za6H3
                w2LiqaMoXg4s/pVj0uV8Sc9G4csWesgXXthQSy3nBe77
                DYca7vt89uN2eYFlTwTnCVYTkkNC67L0B95NRqRhMISA
                MgdoFCcfwAgPpWeWLEcd72EuJ/IWBWBSgA== )

这22545是密钥标签或此 RRSIG 记录，即用于创建它的密钥。