在孩子身上找到DNSKEY,但在父母身上找不到DS.
Check for DS records in parent zone
We found that none of your DNSKEY records are published at parent. All KSKs (Key Signing Keys) should have a corresponding DS record containing the digest of the key at the parent zone.
Recommendation
Publish DS records for all your DNSKEY (KSK) records in parent DNS zone. This will establish a chain of trust from the parent to your zone.
谁知道问题可能是什么?
我使用webmin进行BIND配置,它有一个名为dnssec验证的选项,我认为它是通过https://dlv.isc.org/完成的.
我为此做了一个截图:
解决方法
验证DNSSEC签名数据需要:
>从根区域到您自己的完整信任链,或
>为您的区域配置特定的“信任锚”
在大多数情况下,现在根目录已经签名,前者是首选.您的区域中有DNSKEY,您应该向父区域管理员提交DS记录.然后他们用自己的密钥签署该记录,同样他们自己的DS记录也会被发送到他们的父区域,这可能是根区域.
但是,这确实要求域和根之间的每个DNS级别都具有DNSSEC.
你的域名是什么?您的父域很可能还不支持DNSSEC.
如果他们不这样做,那么下一个最佳选择是将您的DS记录提交给ISC的“DLV”存储库.这是一个受到良好支持的DNS功能,它允许为尚未拥有完全安全信任链的域的安全分发信任锚,一直到“根”.添加您的记录将允许其他人验证您的域名.
EDIT ISC的DLV不再运行.
原文地址:https://www.jb51.cc/html/228978.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
