我已经使用 serverfault.com [ https://serverfault.com/questions/405528/basic-dnssec-configuration-under-bind-9-7 ]的旧指南为我的域创建了 DNSSEC 记录,现在我想添加我的 DNSSEC 详细信息已保存到我的域名注册商的记录中,但我对将哪些内容放在他们的表中的位置有点困惑。
Keytag:我的公钥文件中 有一个keyid,那么就是这个吗?
算法:我知道这是5。
摘要类型:我知道这是RSASHA1。
摘要: 不确定:我已经测试了文件中的各种字符串,我可以确定这些字符串是公共的,而不是私有的,但我不断看到相同的错误:错误: 参数值范围错误
有人可以告诉我这个吗?
...
根据注册管理机构的不同,您需要提供的信息将与 DNSKEY 记录(对于 .eu)或 DS 记录(大多数其他注册管理机构)完全对应。既然你被要求提供“摘要”,那就意味着 DS。
这意味着您可以通过跳到下面的“摘要”部分、从您的密钥(或区域)生成 DS 记录并直接从中复制/粘贴所有字段来缩短此过程。
各个字段是:
密钥标签:与 keyid 相同。DS 记录有一个 5 位数字(有时是 4 位数字;通常为 16 位)的密钥标签(基于整个密钥的哈希值)。如果您生成的密钥文件名为Kexample.com.+005+12345.key,则密钥标签为 12345。它也会显示在输出中dnssec-dsfromkey。
算法:在您的区域中,它5适用于 RSASHA1。
摘要类型:这绝对不是RSASHA1。它可以是1SHA1 或2SHA256,但它不依赖于区域本身:它只是指示您将在以下字段中给出哪种哈希值。为同一键添加具有两种哈希类型的 DS 记录是很常见的。
摘要:这不能直接从您的密钥文件中获取;它可以使用诸如或 之类的工具从它们生成:dnssec-dsfromkeyldns-key2ds
$ dnssec-dsfromkey Kexample.com+005+12345.key
$ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.
(-A需要该标志是因为您没有任何 ZSK,即设置了 SEP 标志的密钥。虽然技术上有效,但由于工具会跳过非 SEP 密钥,这可能会带来很多麻烦。)
默认情况下,该命令将显示使用不同哈希值的两条 DS 记录;您可以同时添加两个或您想要的任何一个。如果您选择 RSASHA1 是因为您的目标是获得最佳兼容性(我相信如果您支持 IPv4),那么您也应该包含 SHA1 DS 记录。除此之外,SHA256 也已得到广泛支持。
| 归档时间: |
|
| 查看次数: |
1628 次 |
| 最近记录: |