将 DS 记录添加到 DNS 中的父级
Sai*_*han 5 domain-name-system nameserver dnssec
我正在尝试为我的域设置 DNSSEC。一切似乎都有效,但我收到以下错误:
DNSKEY 在 child 中找到,但在 parent 中没有找到 DS。
检查父区域中的 DS 记录
我们发现您的 DNSKEY 记录均未在父级发布。所有 KSK(密钥签名密钥)都应该有一个相应的 DS 记录,其中包含父区域的密钥摘要。
建议
为父 DNS 区域中的所有 DNSKEY (KSK) 记录发布 DS 记录。这将建立从父级到您的区域的信任链。
有谁知道可能是什么问题?
我正在使用 webmin 进行 BIND 配置,它有一个名为 dnssec 验证的选项,我认为它是通过https://dlv.isc.org/完成的。
我为此做了一个截图:
问题正是根据引用的文本。
验证 DNSSEC 签名的数据需要:
- 从根区域到您自己的完整信任链,或
- 为您的区域配置特定的“信任锚”
在大多数情况下,既然根实际上已签名,则首选前者。您DNSKEY的区域中有一个,您应该向DS您的父区域管理员提交记录。然后他们用自己的密钥对该记录进行签名,同样他们自己的DS记录被发送到他们的父区域,这可能是根。
但是,这确实要求您的域和根之间的每个 DNS 级别也具有 DNSSEC。
你的域名是什么?您的父域很可能还不支持 DNSSEC。
如果他们不这样做,那么下一个最佳选择是将您的 DS 记录提交到 ISC 的“DLV”存储库。这是一个得到很好支持的 DNS 功能,它允许为尚未完全安全的信任链的域安全分发信任锚,一直到“根”。在那里添加您的记录将允许其他人验证您的域名。
EDIT ISC 的 DLV 不再运行。
| 归档时间: |
|
| 查看次数: |
12564 次 |
| 最近记录: |