在 AWS 上创建 DS 记录时,我收到一条错误消息,DNS 名称为 ex.com 的 DS 记录在区域 ex.com 中不允许。这可能是什么原因?

在 AWS 上创建 DS 记录时,我收到一条错误消息,DNS 名称为 ex.com 的 DS 记录在区域 ex.com 中不允许。这可能是什么原因?

环境:AWS、DNSSEC

当我尝试创建 DS 记录来建立信任链我收到一个我无法理解的错误。

我的全部错误。

Error occurred
Bad request.
(InvalidChangeBatch 400: RRSet of type DS with DNS name example.com. is not permitted in zone example.com.)

奇怪的是,当我尝试将密钥添加到子域时www.example.com它能工作。但这不是我需要的。我需要它能在整个域中工作。

答案1

DS的记录将作为委托的一部分example.com进入区域,而不是区域本身。这就是信任链的形成方式,您从已经验证/信任的父区域获得带有签名的记录。 (在这种情况下,它将通过您的注册商进行管理。)comexample.comDS

类似地,如果您要委派例如sub.example.com其他地方,您会将区域DS中的(如果适用)example.com作为委派的一部分sub.example.com。 (这就是您可以添加DS其他名称的原因。)

答案2

无论您的域名注册在哪里,DS 记录都会附加在那里,这帮助我解决了这个问题。

我的域名注册商仍是 Google(现在是 Squarespace),但我使用 Route 53 作为 DNS,当我在 Route53 上启用 DNSSEC 并尝试在那里添加 DS 记录时,它给出了相同的错误。一旦我在 Google 域上添加了 DS 条目,就无需在 Route53 中添加 DS 记录。

相关内容