如何在 NameSilo 上启用 DNSSEC(使用 YDNS 的 DS 记录)

如何在 NameSilo 上启用 DNSSEC(使用 YDNS 的 DS 记录)

(首先,我对域名和 DNSSEC 还不熟悉)。我曾尝试在 NamesSilo 上为我的域名启用 DNSSEC。我只有纯文本形式的 ds 记录,不知道应该在哪里插入哪个值。像这样:

33333 77 1 9999999999999999999999999999999999999999
33333 77 2 9999999999999999999999999999999999999999999999999999999999999999
33333 77 4 999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999

(这些数字是占位符,相同的数字表示相同的值,但 1、2 和 4 确实存在,值的长度也正确)。但在 NameSilo 中输入以下内容:

Digest: [text field]
Key Tag: [text field]
Digest Type: [dropdown select option]
Algorithm: [dropdown select option]

我不知道这些值代表什么,也不知道把它们插入到哪里。我必须使用 Namesilo,因为我可以在那里用比特币支付而无需 kyc 验证。我必须使用 ydns,因为我的 ip 不是静态的,而且我将我的域名用于我自己托管的项目。如能得到帮助我将不胜感激。

答案1

首先,请反复检查DS您正在使用的记录是否与用于对区域进行签名的正确密钥相对应(或对用于对区域进行签名的密钥进行签名)。添加记录会DS向所有人发出信号,表明该区域已使用相应的密钥进行签名,如果该DS数据不正确,则该区域会停止工作。

字段的顺序DS记录数据是:

<keytag> <algorithm> <digesttype> <digest>

在问题中您显示有多个DS记录,但实际上此时您真正想要添加的很可能只是摘要类型 2(SHA256)DS记录。

选择 DNSSEC 算法的指南RFC8624(从 2019 年开始,目前仍然有价值)涵盖推荐DNSKEY算法和DS算法。
(简短版本::DS几乎肯定是 2/SHA256,:DNSKEY可能是 13/ECDSAP256SHA256,或者可能是 15/ED25519,或者可能是 8/RSASHA256)

至于注册商提供的添加DS记录的界面,具体细节因注册商而异。使用问题中提到的字段,我采​​用当前的字段,com DS只是为了有一个可以使用实际值的示例:

com.                    86400   IN      DS      30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766

这将转化为问题中的字段:

  • 摘要:E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
  • 关键标签:30909
  • 摘要类型:2
    (2 转换为 SHA-256,请参阅有关登记册对于此参数)
  • 算法:8
    (8 转换为 RSA/SHA-256,请参阅有关登记册对于此参数)

相关内容