У меня есть рабочий DNS в виртуальной среде для тестирования и обучения. Это полноценный сервер из корневого домена и пары поддоменов.
я добавил
dnssec-enable yes;
в named.conf, а также создал ключи ZSV и KSK и добавил их в один из моих поддоменов.
Я пытаюсь пойти по легкому пути и подписываю только один домен. Скажем, у меня есть
home.garage.top
как мои топ- и поддомены, и я хочу подписать домой, и только домой. я использую
dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051
Это должно создать home.db.signed или home.signed, но это не так. Все, что я получаю, это
dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone
dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone
Что я делаю не так?
Вы указываете, что происхождение home.db
(с помощью -o
). Это действительно название зоны, оно звучало так, будто название зоны было довольно home.garage.top
?
Такое несоответствие соответствует типу сообщения об ошибке, которое вы получаете.
Однако в качестве общего предложения относительно DNSSEC и BIND я бы предложил использовать встроенные функции для обслуживания зоны, а не звонить dnssec-signzone
вручную (и как-то планировать это).
Увидеть auto-dnssec maintain
и возможно inline-signing yes
настройки так же как это руководство.