环境:AWS、DNSSEC
当我尝试创建 DS 记录来建立信任链我收到一个我无法理解的错误。
我的全部错误。
Error occurred
Bad request.
(InvalidChangeBatch 400: RRSet of type DS with DNS name example.com. is not permitted in zone example.com.)
奇怪的是,当我尝试将密钥添加到子域时www.example.com它能工作。但这不是我需要的。我需要它能在整个域中工作。
答案1
DS
的记录将作为委托的一部分example.com
进入区域,而不是区域本身。这就是信任链的形成方式,您从已经验证/信任的父区域获得带有签名的记录。 (在这种情况下,它将通过您的注册商进行管理。)com
example.com
DS
类似地,如果您要委派例如sub.example.com
其他地方,您会将区域DS
中的(如果适用)example.com
作为委派的一部分sub.example.com
。 (这就是您可以添加DS
其他名称的原因。)
答案2
无论您的域名注册在哪里,DS 记录都会附加在那里,这帮助我解决了这个问题。
我的域名注册商仍是 Google(现在是 Squarespace),但我使用 Route 53 作为 DNS,当我在 Route53 上启用 DNSSEC 并尝试在那里添加 DS 记录时,它给出了相同的错误。一旦我在 Google 域上添加了 DS 条目,就无需在 Route53 中添加 DS 记录。