我试图在我的权威的dns绑定机器上启用DNSSEC。 到目前为止,我已经完成了以下教程 :
生成KSK和ZSK密钥:
dnssec-keygen -a RSASHA1 -b 1024 -n ZONE zonename
dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -f KSK zonename
在该区域中包含pub key并签名该区域:
dnssec-signzone -o zonename -k KSKfile zonefile ZSKfile
在named.conf中添加签名区域来代替旧区域
我不知道我是否漏掉了一些东西,但支持DNSSEC的注册商一直告诉我:
Error Signature DNSKEY entries is not valid. Error Signature SOA entry is not valid. 有谁知道如何解决这个问题? 是否有任何在线DNSSEC工具显示有关dnssec状态的更多信息?
我知道有三个DNSSEC在线检查器:
您的问题不清楚的是您要求注册服务商做的事情。 如果您在自己的机器上托pipe域名(似乎是这种情况),那么您应该将您的注册服务商发送给您的DSlogging,以便他们可以将其发送到相应的registry。
顺便说一句,你是否在签名之前在你的区域文件中包含公钥? 你只在第二个项目符号中提到上面的一个键。 除此之外,你做了什么看起来不错。
当我写下你正在学习的教程时,我觉得有义务回答。 🙂
如果没有附加信息(例如区域名称),注册服务商提供的错误消息有点过于通用,无法提供有关实际问题的线索。
如果你提供更多的信息,我会从这边看到它的样子。
如果你已经解决了这个问题,我会对造成这个问题的原因感兴趣。
我pipe理一个在线DNS检查工具列表,特别强调DNSSEC。