Я пытаюсь включить DNSSEC на моем авторитетном компьютере с привязкой DNS. Пока я сделал следующее Руководство :
Создайте ключи KSK и ZSK:
dnssec-keygen -a RSASHA1 -b 1024 -n ЗОНА имя зоны
dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -f KSK имя зоны
Включите ключ паба в зону и подпишите зону:
dnssec-signzone -o имя зоны -k KSKfile файл зоны ZSKfile
Добавьте подписанную зону вместо старой в named.conf
Не знаю, пропустил ли я что-то, но регистратор, поддерживающий DNSSEC, продолжает мне говорить:
Error Signature DNSKEY entries is not valid.
Error Signature SOA entry is not valid.
Кто-нибудь знает, как это решить? Есть ли какой-нибудь онлайн-инструмент DNSSEC, который отображает дополнительную информацию о статусе dnssec?
Я чувствую себя обязанным ответить, так как написал руководство, которому вы следуете. :)
Без дополнительной информации (например, имени зоны) сообщения об ошибках, которые предоставляет ваш регистратор, слишком общие, чтобы дать какой-либо ключ к пониманию реальной проблемы.
Если предоставите дополнительную информацию, посмотрю, как это выглядит с этой стороны ...
Если вы уже решили проблему, меня бы очень интересовало, что вызвало проблему.
Я знаю три онлайн-средства проверки DNSSEC:
Из вашего вопроса неясно, что именно вы просите своего регистратора сделать. Если вы размещаете домен на своем собственном компьютере (что, похоже, так и есть), то все, что вы должны отправлять своему регистратору, это ваш DS
запись, чтобы они могли отправить ее в соответствующий реестр.
Кстати, вы включили обе публичные ключи в файле зоны перед его подписанием? Вы упомянули только один ключ выше во втором пункте. В остальном то, что вы сделали, выглядит нормально.
Я веду список онлайн-инструменты проверки DNS, с особым упором на DNSSEC.