我正在尝试在我的权威dns Bind机器上启用DNSSEC.到目前为止,我已经完成了以下
Tutorial:
>生成KSK和ZSK密钥:
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE zonename
dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -f KSK zonename
>在区域中包含pub密钥并对区域进行签名:
dnssec-signzone -o zonename -k KSKfile zonefile ZSKfile
>在named.conf中添加签名区域代替旧区域
>重启绑定
我不知道我是否错过了什么,但支持DNSSEC的注册商不断告诉我:
Error Signature DNSKEY entries is not valid. Error Signature SOA entry is not valid.
解决方法
我知道有三个DNSSEC在线检查器:
> http://dnssec-debugger.verisignlabs.com/
> http://dnscheck.iis.se/
> http://www.zonecheck.fr/
您的问题中不清楚的是您要求注册商做的事情.如果您在自己的计算机上托管域名(似乎是这种情况),那么您应该向注册商发送的是您的DS记录,以便他们可以将其发送到相应的注册表.
顺便说一句,在签名之前,您是否在区域文件中包含了两个公钥?您只在第二个项目符号点中提到上面的一个键.除此之外,你所做的一切看起来还不错.
原文地址:https://www.jb51.cc/html/228130.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
