我正在尝试在运行 DirectAdmin 控制面板的 CentOS 6.4 上使用 BIND9 配置 DNSSec。我正在使用本教程来使其工作: https://www.dnssec-tools.org/wiki/index.php/Zonesigner 但我无法让它工作...... 当我运行此命令时: zonesigner --genkeys jordikroon.nl.db jordikroon.nl.db.signed 我收到此错误: jordikroon.nl.db:17: ignoring out-of-zone data (jordi...
我已经为我的域名设置了 DNSSECshabdiznet.com并检查了http://dnssec-debugger.verisignlabs.com/shabdiznet.com唯一的问题是 在 com 区域中未找到 shabdiznet.com 的 DS 记录 正如你所见。我还发现了同样的老问题将 DS 记录添加到 DNS 中的父级没有回答我的问题,因为我已经完成了https://dlv.isc.org/。 如何将 DS 记录提交到 .com 区域?(请提供示例) ...
问题 作为一般做法,对名称服务器使用多个 TLD 是一个好主意吗? 我应该如何选择最适合作为我的 NS 名称根服务器的 TLD? 更多信息 我正在切换超过 800 个 DNS 区域交给外包 DNS 提供商。 我最初计划将区域名称设置为 nsX.company.com,但我认为最好有多个 TLD,.net例如.org和.info 由于我计划在 company.com 上支持 DNSSec,所以我认为所有第一层名称服务器也必须支持它。 这个问题的部分灵感来自我们的提供商 UltraDNS。在我们的域名配置屏幕中,他们会主动验证,如果我们的名称服务器...
我在主 NS 服务器上有多个区域,这些区域传输到面向公众的服务器。但是在为每个区域启用 DNSSEC 后,一个区域继续执行 IXFR(已经执行了 2 周),每 1-3 分钟一次,增加序列号。 我在日志中看到如下行: zone mydomain.xyz/IN (signed): sending notifies (serial 2024043409) client ns1#37177 (mydomain.xyz): transfer of 'mydomain.xyz/IN': IXFR started (serial 2024043408 -> 2024...
我的提供商已转移域名salonasruna.com,但它看起来无法正常工作。 https://dnssec-analyzer.verisignlabs.com/salonasruna.com显示状态。 该如何解决该问题以及由此引发的后续问题? 我无法生成 Let's Encrypt 证书。 我也遇到了域名传播问题。大约 80 小时过去了,传播状态如下: ...
在更改配置以解决 Google Domains 中动态 DNS 的弃用问题时2023 年 10 月公告,我更改了 Google Domains 中我的 .org 和 .com 域的名称服务器,使其指向我的新 Cloudflare 帐户。 然后,我解锁了域名并将其从 Google Domains 转移到 Cloudflare。然后,我为我的 IP 地址添加了 A 记录,以便我可以通过其他子域名访问它,但它们没有起作用。读过博客后,我觉得我应该在转移域名之前禁用 Google Domains 中的 DNSSEC。 我后来在 Cloudflare 中打开了 DNS...
为了避免将 DK 域名加入 CloudFlare 时出现离线时间,我阅读了有关禁用 DNSSEC 的说明:https://developers.cloudflare.com/dns/dnssec/ 哪里说: 如果您要将现有域名加入 Cloudflare,请确保注册商(您购买域名的地方)已禁用 DNSSEC。否则,当您更改名称服务器时,您的域名将遇到连接错误。 但我对他们的措辞仍不确定。 域名注册商是https://punktum.dk(这也是 DK 域的 TLD)并且它们有一个 DNSSEC 部分,您可以在其中创建、导入和删除 DNSSEC 密钥。 DN...
场景: BIND9(9.18)在 Debian 12“bookworm”上运行,作为一大堆区域的主 DNS。 已制定 dnssec 策略,用于建立区域条目的自动签名。 密钥(KSK 和 ZSK)定期更新(1 年和 30 天)。 DS-Records 被推送至上游。 总体来说,这是一个相当好用且安全的 DNS 设置,并且已经运行了相当长一段时间。 现在,我们注意到,KSK 的密钥有效期似乎存在问题。多年来,在进行了一些 KSK 轮换后,过期的 KSK 似乎仍留在区域中。根据它们的时间参数,它们应该早就被删除了,但仍然保留在区域中(DNSSEC 条目以及密钥...
bind9 的默认资源记录签名有效期为 30 天,每次我们都必须通过重新签名区域文件来更新签名有效期。否则,如果 RR 签名过期,DNS 解析器将无法解析来自互联网的查询。我在生产中使用 bind 9.11.36 稳定版。 有没有办法可以将签名有效期从30天延长至1年? 为 bind9 生产环境设置资源记录签名到期期限的行业最佳实践是什么? ...
大约 15 小时前,我已将我的域名添加到 CloudFlare,但 Edge 证书仍处于待处理状态。我尝试了帮助中心,得到的答案是使用https://letsdebug.net/并返回错误: “在建立信任链时,没有密钥具有来自 ip.ip.ip.ip 的采用 ECDSAP256SHA256 算法的 DS,用于密钥 domain.com” DNSLookupFailed A fatal issue occurred during the DNS lookup process for domain.com/CAA. DNS response for doma...
如果 DNS 名称服务器支持 DNSSEC,是否意味着它发送的每个 DNS 响应都将包含与 DNSSEC 相关的记录,如 NSEC、NSEC3、RRSIG 等?还是取决于解析器发送的内容? 我知道我们需要+dnssec在运行dig命令时进行设置才能查看与 DNSSEC 相关的记录。对于“常规”DNS查询也是如此吗? ...
基本情况是:对某个域具有权威性的 BIND 服务器崩溃了,并且正在使用 DNSSEC(即,我无法更改该区域的 DNS 条目),让注册商删除 DS 条目,然后在未启用 DNSSEC 的新名称服务器中设置区域是否足够?显然,我必须等待 TTL 到期,注册商条目才会过期,然后才能切换到新的名称服务器,但我不确定仅让注册商完成其工作并在新名称服务器上硬切到新的非 DNSSEC 区域是否会带来任何重大问题。 提前感谢大家的帮助! ...
不幸的是,有些 TLD 仍然不支持 DNSSEC 直至根目录。但是,是否可以将特定的 DNSKEY 添加到我的解析器(当前使用knot-resolver),以便即使没有 TLD 支持也可以验证签名区域? ...
我已经在 Ubuntu 22.04 LTS 上设置了一个工作 DNS 服务器,作为单个服务器(DNS、SPF、电子邮件、防火墙等)的一部分。IP:192.168.122.189 测试域:jetj.ltd 主机名:mail 我拥有的文件是:db.jetj.ltd: ; ; BIND data file for jetj.ltd ; $INCLUDE /etc/bind/keys/Kjetj.ltd.+008+12125.key $TTL 86400 @ IN SOA mail.jetj.ltd. karti.jetj.l...
RRSIG 的存在是否非常罕见?我尝试获取许多流行域名的 RRSIG 记录,包括尝试不同的解析器。我在答案部分没有得到任何 RRSIG 记录。 dig @1.1.1.1 aws.com A +dnssec dig @8.8.8.8 google.com A +dnssec dig @8.8.8.8 aws.com A +dnssec dig @8.8.8.8 icloud.com A +dnssec dig @8.8.8.8 zoom.us A +dnssec 结果中的答案部分从不包含 RRSIG 记录。我做错了什么吗?或者 RRSIG 在获取 DNS 记...