Intereting Posts
如何确定什么内存被释放
Logstash服务器日志文件充满“无法刷新传出项”错误消息
运行java服务器时的带宽波动
build议:configuration旧的PowerEdge 2950虚拟化
我怎样才能解决这些与pgadmin的连接问题?
思科路由器(2611XM)和ISP互联网连接
如何比较CPU?
如何在释放之前评估WSUS更新的影响?
是否有任何与OpenIndianna(OpenSolaris)和/或FreeNAS(freebsd)8+兼容的PCIe SSD卡?
用于数据中心虚拟化项目的戴尔刀片或C系列机架服务器
使用3g USBencryption狗作为Cisco路由器接入点
CentOS 7 nfs服务器使autofs nfs客户端运行macOS 10.11+崩溃
Opera是否存在安全风险,是否有简单的方法来阻止它?
SQL Server 2008试用 – 还剩几天?
Adaptec HostRaid RAID1硬盘容量的1/2
将DSlogging添加到DNS中的父项
我正在尝试为我的网域设置DNSSEC。 一切似乎工作,但我得到以下错误:
在子节点findDNSKEY,但在父节点找不到DS。
检查父区域中的DSlogging
我们发现您的DNSKEYlogging都没有在父级发布。 所有的KSK(密钥签名密钥)都应该有一个对应的DSlogging,其中包含父区域密钥的摘要。
build议
发布父DNS区域中所有DNSKEY(KSK)logging的DSlogging。 这将build立从父母到你的区域的信任链。
任何人都知道问题可能是什么?
我使用webmin作为我的BINDconfiguration,它有一个名为dnssecvalidation的选项,我认为它通过https://dlv.isc.org/完成。
我为此做了一个截图:
问题正是所引用的文字。
validationDNSSEC签署的数据需要:
- 从根区到你自己的完整信任链
- 为您的区域configuration特定的“信任锚点”
在大多数情况下,现在根实际上是签名的,前者是首选。 您的区域中有DNSKEY ,您应该向您的父区域pipe理员提交DSlogging。 然后,他们用自己的密钥签名该logging,同样,他们自己的DSlogging也会发送到他们的父区域,这可能是根源。
但是,这要求您的域和根目录之间的每个DNS级别都具有DNSSEC。
你的域名是什么? 您的父域很可能还不支持DNSSEC。
如果他们不这样做,那么下一个最好的select是将您的DSlogging提交给ISC的“DLV”存储库。 这是一个得到很好支持的DNSfunction,它允许安全地分配信任锚,这些信任锚还没有完全安全的信任链,直到“根”为止。 在那里添加你的logging将允许其他人validation你的域名。