Это моя установка
Домен: nginx-repo [.] com (зарегистрировано в GoDaddy)
Сервер имен: Виртуальная машина DigitalOcean с BIND на Debian 7
Я создал зону для вышеупомянутого домена на своей виртуальной машине, а затем использовал dnssec-keygen и dnssec-signzone для настройки и подписи файла зоны.
Записи DS
# cat dsset-nginx-repo.com.
nginx-repo.com. IN DS 22728 7 1 7EAA739B73EDB97A3E352435F7064D9865AAF45E
nginx-repo.com. IN DS 22728 7 2 6812A504A54E37DDCBD3EB2913A53336AD4D132C619F7F98B45F91A6 98131231
Теперь я вошел в GoDaddy и попытался ввести первую запись DS, но получил ошибку - В настоящее время мы не можем проверить ваши данные. Пожалуйста, попробуйте позже. Если проблема не исчезнет, обратитесь в службу поддержки.
Я связался с GoDaddy через чат, и вкратце вот что произошло.
Меня: Я получаю такую-то ошибку при вводе записей DS
Oни: Вы нужен Премиум DNS для DNSSEC
Меня: Но ваша документация (http://support.godaddy.com/help/article/6135/dnssec-faq) говорит, что я могу настроить Самостоятельно управляемый DNSSEC с настраиваемыми серверами имен
Oни: Да, но у вас должен быть контроль над подписью ваших зон
меня: Да, NS размещен на DigitalOcean VPS, на котором у меня есть root-доступ
Oни: Но не в ЭТОЙ учетной записи файл зоны должен контролироваться ЭТОЙ учетной записью.
После некоторого спора они так сказали
Доменное имя должно находиться в той же учетной записи, что и Премиум DNS ... у большинства людей также будет свой VPS в одной учетной записи, чтобы предотвратить такие ошибки перекрестной учетной записи.
Меня: : -S: -S: -S: -S
Что здесь не так? Я неправильно настроил DNSSEC в BIND?
Или мне нужно зарегистрироваться на GoDaddy VPS, чтобы использовать Self-Managed DNSSEC :-D :-D
Вот dig вывод
# dig DNSKEY +multiline nginx-repo.com @dns.nginx-repo.com
;; Truncated, retrying in TCP mode.
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> DNSKEY +multiline nginx-repo.com @dns.nginx-repo.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31501
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;nginx-repo.com. IN DNSKEY
;; ANSWER SECTION:
nginx-repo.com. 86400 IN DNSKEY 257 3 7 (
AwEAAaqoS3iOSx6zKrlp28xrLfL4VX4OTCOc5wiUQYy0
xV0Z1Duq2NHEbJAniAF9K4Hgp+YbvpheF667+1gKLeuc
RO6DiHAp08kQf45fo6NVvdWSqQlH5JS9bdawx1BtKi/k
BXLWtL+j9wJ+Xn2MmwyAvSEZ+XBnSnZmSkK5AqKd99A5
/UTNazgnwrsVIeBswczh+L/Fl55dAfoJfeFdBjK0ttHg
mrydkfYV+pK/poMQEbIcfxA3CHql7J7aXQWsqVozlXwM
mDZ9rJ9dtY4fySSA5apF1P5ulnvSRyvpRHP9Nr6IDP9q
PmIkmQYy3N+wADIbSvAloCEhyHy3hHzmD/B033O7Pk1T
KjVx9Xiso3NvT2lipgZdWUffiC5Az3XJNeAbp1nNg8Rn
5ZDyLf1yusBzxvV+bjybKBxj5SQHOJWtPu8BuczEEcW+
mSOtRPxPg90idbMGrW3QgVTqx3fp/CfJbDpffZ8scpOg
dFoQ9/sjib/BYt8zgadU0fmQD0MvGm9OLB713I9Zbi/I
lMhephDaFcK4BRRY08BYwh53pWw32OnUmj6aqPFOsok9
pYVkpzFDHifw4dcvGj0aFk4FKcNyXDqLwpT4rQNDRWaN
7WRLViglBzVEfesGZN6GGgL9gJIfLuCovbLEhRIUYql/
wNG83GKMAK7Nx7gvqfeKsmesYeKL
) ; key id = 22728
nginx-repo.com. 86400 IN DNSKEY 256 3 7 (
AwEAAc+8SlNMiwtQT6/1NitlWBPg7dx53A7cmP3tg75Q
PlEqQrTRzf4+j5JPTfV/dHjwd4lXpEYxi+YMT8e3q9KM
SyBuZSIGJc+rBsdPDqaWPLL8J8/D3mK4cGOPvD8BIs4V
Zo+v9sMm4PQsXkcntGJ45UPTflGghss8MNveg1U/+irL
oIOm7jP2iLS6lPdhxrpuoXH8nBMIvjMxAQBRAlxkUjO1
X9OOw+G/rCrcjyv7gyt7ihy1+CZCrrQE7Mg629BHCkMv
40bLt5SdW9+IXe4soVNo+4gR9XgGDXTikztN/ZoAAjiJ
Z9uwsJ3C1FGxwyH3/EwafhxXXDnDmHL3+oCUvfs=
) ; key id = 2579
;; Query time: 0 msec
;; SERVER: 192.241.253.191#53(192.241.253.191)
;; WHEN: Mon Nov 25 19:42:10 2013
;; MSG SIZE rcvd: 840
Проблема решена. Это была проблема со стороны GoDaddy.
Я создал заявку и получил следующий ответ после 61 часов.
Наша веб-служба проверки обращается к внутренней веб-службе регистратора, которая обращается к реестру для проверки DNSSEC. Много раз время ожидания вызова реестра. Скорее всего, вы получали ошибки.
Если бы человек в чате сказал мне это, я бы сэкономил много времени, а также избавил бы меня от необходимости создавать здесь тему.