Назад | Перейти на главную страницу

Знаковая зона DNSSEC приводит к фатальному отказу

У меня есть рабочий DNS в виртуальной среде для тестирования и обучения. Это полноценный сервер из корневого домена и пары поддоменов.

я добавил

dnssec-enable yes;

в named.conf, а также создал ключи ZSV и KSK и добавил их в один из моих поддоменов.

Я пытаюсь пойти по легкому пути и подписываю только один домен. Скажем, у меня есть

home.garage.top

как мои топ- и поддомены, и я хочу подписать домой, и только домой. я использую

dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051

Это должно создать home.db.signed или home.signed, но это не так. Все, что я получаю, это

dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone
dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone

Что я делаю не так?

Вы указываете, что происхождение home.db (с помощью -o). Это действительно название зоны, оно звучало так, будто название зоны было довольно home.garage.top?

Такое несоответствие соответствует типу сообщения об ошибке, которое вы получаете.


Однако в качестве общего предложения относительно DNSSEC и BIND я бы предложил использовать встроенные функции для обслуживания зоны, а не звонить dnssec-signzone вручную (и как-то планировать это).

Увидеть auto-dnssec maintain и возможно inline-signing yes настройки так же как это руководство.