我正在尝试在我的权威dns Bind机器上启用DNSSEC.到目前为止,我已经完成了以下
Tutorial:
>生成KSK和ZSK密钥:
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE zonename
dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -f KSK zonename
>在区域中包含pub密钥并对区域进行签名:
dnssec-signzone -o zonename -k KSKfile zonefile ZSKfile
>在named.conf中添加签名区域代替旧区域
>重启绑定
我不知道我是否错过了什么,但支持DNSSEC的注册商不断告诉我:
Error Signature DNSKEY entries is not valid. Error Signature SOA entry is not valid.
解决方法
我知道有三个DNSSEC在线检查器:
> http://dnssec-debugger.verisignlabs.com/
> http://dnscheck.iis.se/
> http://www.zonecheck.fr/
您的问题中不清楚的是您要求注册商做的事情.如果您在自己的计算机上托管域名(似乎是这种情况),那么您应该向注册商发送的是您的DS记录,以便他们可以将其发送到相应的注册表.
顺便说一句,在签名之前,您是否在区域文件中包含了两个公钥?您只在第二个项目符号点中提到上面的一个键.除此之外,你所做的一切看起来还不错.
