Начиная с версии 9.9, Bind поддерживает встроенная подпись, но я не нахожу информации о том, как заставить его работать с NSEC3. Я не могу добавить NSEC3PARAM RR с помощью nsupdate: я думаю, что это нормально из-за встроенной подписи, но я не могу указать это для встроенной подписи.
Кто-то настроил и протестировал это или идею?
Спасибо за ответы.
Наконец, я нашел ответ в списке рассылки bind-user.
Вместо nsupdate я должен использовать следующую команду:
rndc signing -nsec3param 1 1 100 $(head -c 512 /dev/random | sha1sum | cut -b 1-16) <zonename>
Надеюсь, этот вопрос поможет кому-то в будущем.