我在VM-env中有一个可用的DNS,用于testing和学习目的。 这是一个完整的服务器从根域和一些子域。
我已经添加
dnssec-enable yes; 到named.conf中,还创build了ZSV和KSK键,并将它们附加到我的一个子域中。
我试图走容易的path,只能签署一个域名。 假设我有
home.garage.top
作为我的顶级域名和子域名,我想在家中签名,只有在家。 我用
dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051
这应该产生一个home.db.signed或home.signed,但它没有。 我得到的是
dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone
我究竟做错了什么?
您正在指定的来源是home.db (使用-o )。 这实际上是该区域的名称,它听起来像区域的名称是比较home.garage.top ?
这种不匹配会适合您所得到的那种错误信息。
然而,作为关于DNSSEC和BIND的一般性build议,我会build议利用内置的区域维护function,而不是手动调用dnssec-signzone (并以某种方式调度)。
请参阅auto-dnssec maintain以及可能的inline-signing yes设置以及本指南 。