如何在编辑区域文件后强制 BIND 9.16 重新签署我的区域

如何在编辑区域文件后强制 BIND 9.16 重新签署我的区域

dnssec-policy在我的区域上使用 BIND 9.16 新功能,遵循指导启用 DNSSEC。一切顺利。现在,我需要向我的一个区域添加另一条记录,但在编辑 /var/lib/bind/db.mydomain.com 上的区域文件并使用后:

rndc reload
systemctl restart bind9

我的 .key 文件 Kmydomain.com.xxxx.key 没有被更新,在日志中,我看到带有该区域的旧序列号(已签名)和该区域的新序列号(未签名)的消息。

Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (unsigned): loaded serial 2021100801
...
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): loaded serial 2021100607 (DNSSEC signed)
...
Oct  8 13:07:04 bind named[622]: all zones loaded
Oct  8 13:07:04 bind named[622]: running
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): receive_secure_serial: unchanged
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): sending notifies (serial 2021100607)
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): reconfiguring zone keys
...
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): next key event: 08-Oct-2021 17:59:00.636

阅读文档后,我找不到有关要求 BIND 重新签发我的区域的手动步骤的参考,我想知道如何进行。

/etc/bind/named.conf.local 上的域区域是

zone "mydomain.com" in {
    type master;
    file "/var/lib/bind/db.mydomain.com";
    allow-transfer { 123.123.123.123; };
    also-notify { 123.123.123.123; };
    dnssec-policy default;
};

答案1

最后我使用了“核”选项,从 /var/cache/bind/ 中删除了 mydomain.com 的 K* 文件

rm -f /var/cache/bind/Kmydomain.com.*

然后重新启动 BIND

rndc reload
systemctl restart bind9

我必须生成一个新的 DS 记录并在我的父 DNS 服务器上更新它,但我不能再等了。

如果您知道如何在编辑区域文件时正确地要求 BIND 生成新的(密钥/私有/状态)文件,我真的很想知道。

相关内容