我正在尝试为我的网域设置DNSSEC。 一切似乎工作,但我得到以下错误: 在子节点findDNSKEY,但在父节点找不到DS。 检查父区域中的DSlogging 我们发现您的DNSKEYlogging都没有在父级发布。 所有的KSK(密钥签名密钥)都应该有一个对应的DSlogging,其中包含父区域密钥的摘要。 build议 发布父DNS区域中所有DNSKEY(KSK)logging的DSlogging。 这将build立从父母到你的区域的信任链。 任何人都知道问题可能是什么? 我使用webmin作为我的BINDconfiguration,它有一个名为dnssecvalidation的选项,我认为它通过https://dlv.isc.org/完成。 我为此做了一个截图:
我正在运行一个名为dnsmasq (版本2.72-3+deb8u1 )的DNSSECvalidationDNSparsing程序的本地Debian 8.1安装。 如果它无法validation启用了DNSSEC的域,则将其设置为返回SERVFAIL ,即,如果域具有DNSSEC条目,则必须正确validation才能将其转发到客户端。 当我今天浏览时,我想访问IETF的相当着名的网站,但是我不能,因为域名无法解决。 我检查命令行来validation这一点,我得到了一个SERVFAIL 。 我检查了谷歌DNS服务器(8.8.8.8),并没有得到SERVFAIL但IP地址。 之后,我启用了每个DNS请求的日志logging,并检查结果。 似乎我的感觉是正确的,DNSSECvalidation失败了,即使它得到了像我从Google获得的DNS转发器的相同响应。 这里是我的syslog的相应的行: Sep 5 13:27:13 dnsmasq: query[A] www.ietf.org from 192.168.1.10 Sep 5 13:27:13 dnsmasq: forwarded www.ietf.org to 81.3.21.188 Sep 5 13:27:13 dnsmasq: forwarded www.ietf.org to 178.63.73.246 Sep 5 13:27:13 dnsmasq: dnssec-query[DNSKEY] ietf.org to 81.3.21.188 Sep 5 13:27:13 dnsmasq: dnssec-query[DS] ietf.org to 81.3.21.188 Sep 5 […]
我的DNS服务器设置有问题。 我的绑定服务器主要是一个caching服务器,但也服务于一些内部域。 它只侦听我的私人networking,并只提供来自那里的请求。 今天我想启用绑定来validationDNSSEC,但不知何故它不正确。 如果我parsing绑定Linux机器本身的主机名,那么无效的DNSSEC就是这样完美显示的。 但是,如果我尝试在networking中的其他机器上再次使用相同的dig命令来parsing相同的域,则DNSSEC检查不会失败,并且域得到解决就好了。 我想要做的是发送正确的SERVFAIL到我的networking中的其他DNS客户端。 这里是你可能需要的所有信息(绑定版本,configuration等)。 我会在最后加上我所做的。 OS版本 root@thor:/etc/bind# lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 8.5 (jessie) Release: 8.5 Codename: jessie root@thor:/etc/bind# uname -a Linux thor.home.intranet 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2 (2016-04-08) x86_64 GNU/Linux 绑定版本 BIND 9.9.5-9+deb8u6-Debian (Extended Support Version) named.conf中 include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include […]
我试图在我的权威的dns绑定机器上启用DNSSEC。 到目前为止,我已经完成了以下教程 : 生成KSK和ZSK密钥: dnssec-keygen -a RSASHA1 -b 1024 -n ZONE zonename dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -f KSK zonename 在该区域中包含pub key并签名该区域: dnssec-signzone -o zonename -k KSKfile zonefile ZSKfile 在named.conf中添加签名区域来代替旧区域 重新启动绑定 我不知道我是否漏掉了一些东西,但支持DNSSEC的注册商一直告诉我: Error Signature DNSKEY entries is not valid. Error Signature SOA entry is not valid. 有谁知道如何解决这个问题? 是否有任何在线DNSSEC工具显示有关dnssec状态的更多信息?
从我的理解DNSSEC允许我创build一个公钥并签署我的DNSlogging。 似乎有多种方法可以获得证书logging(如DANE,请参阅https://wiki.mozilla.org/Security/DNSSEC-TLS-details#Embedding_Certificate_Information_in_DNS ) 我不确定这是如何工作的。 我猜这些步骤。 它是否正确? 创build一个公钥/私钥对 把公钥放到一个DNSlogging(DS我相信) 签署我的DNSlogging 为我的服务器创build一个公钥/私钥 创build一个证书 使用DNS私钥签名证书 把证书放在DNS里!?!?! 把证书放在我的服务器上,并以典型的方式使用它? 我觉得我有什么问题,Mozilla链接提到并不是所有的logging都会被支持,所以现在支持很多(比如firefox,chrome,IOS和android)以及我用什么logging来描述? DANE? CAA?
我对DNSSEC有一些疑问。 我有一个服务器作为一个权威名称服务器和另一个作为caching/parsing器。 我正在使用绑定9.7.1-P2,这些是我的configuration文件: Named.conf(权威服务器) // Opciones de configuracion del servidor include "/etc/rndc.key"; controls { inet 127.0.0.1 allow { localhost; } keys { rndc-key; }; }; options{ version "Peticion no permitida/Query not allowed"; hostname "Peticion no permitida/Query not allowed"; server-id "Peticion no permitida/Query not allowed"; directory "/etc/DNS_RIMA"; pid-file "named.pid"; notify yes; #files 65535; dnssec-enable yes; dnssec-validation […]
题 一般来说,在名称服务器上使用多个顶级域名(TLD)是一个好主意吗? 我应该如何select哪个顶级域名作为我的NS名称的根服务器? 更多信息 我将800个DNS区域切换到外包的DNS提供商。 我原本计划将区域名称设置为nsX.company.com,但认为最好有多个TLD,如.net , .org和.info 由于我计划在company.com上支持DNSSec,我认为所有的第一层名称服务器也必须支持它。 这个问题的部分灵感来自我们的提供商UltraDNS。 在我们域名的configuration屏幕中,他们主动validation并提醒我们,如果我们的域名服务器不是: pdns1.ultradns.net pdns2.ultradns.net pdns3.ultradns.org pdns4.ultradns.org pdns5.ultradna.info pdns6.ultradns.co.uk
我试图更新名称使用从名称服务器本身内执行的nsupdate ,但我收到错误消息; TSIG error with server: tsig indicates error ; TSIG error with server: tsig indicates error 。 我用dnssec-keygen -a hmac-md5 -b 512 -n HOST -r /dev/urandom dyn.mydomain.com.创build了一个密钥dnssec-keygen -a hmac-md5 -b 512 -n HOST -r /dev/urandom dyn.mydomain.com. 并将秘密复制到named.conf中。 我的named.conf如下 key "dyn.mydomain.com." { algorithm hmac-md5; secret "T2DjtGkGAzPAVrL6zar9GpxjNQ1iOjJzWKhPsF5gu0xQbaONhK7ZmC0n WKatgbGEHqla1uoxG3FdktQPolMIjQ=="; }; zone "dyn.mydomain.com." { type master; file "/var/cache/bind/dyn.mydomain.com.hosts"; […]
我似乎无法访问我的网站:yippie.nl,使用Google的公共DNS 8.8.8.8。 其他DNS的工作正常。 这可能是由于DNSKEY? 原因Route53不提供它。 http://dnscheck.pingdom.com/?domain=yippie.nl显示: yippie.nl的安全性不一致 – DS在父母身上发现,但在孩子身上找不到DNSKEY。 父母对孩子有一个安全的授权(由家长的DS RRset表示),但孩子没有DNSKEY。 这可能是由于先前签名的区域未经请求父母移除安全委派而成为未签名的区域。 这是我能find的唯一的东西。 当我挖掘+追踪+添加yippie.nl我得到完整的东西:完: yippie.nl. 300 IN A 94.75.224.2 任何想法可能是什么问题? 非常感谢!
我运行一个权威的名称服务器(BIND),我有几个域有相同的区域文件,即他们都使用/etc/bind/db.default3 。 我正在考虑在我的服务器上部署DNSSEC,但到目前为止,我在其上find的所有文档都需要我为每个区域执行许多手动步骤(例如生成KSK和ZSK)。 BIND 9.9的内联签名使得其中一些更容易,但不是一切。 那么,我可以使内联签名模式下的BIND对多个域使用相同的KSK吗? 如果是这样,我可以把这些域的DSlogging相同的价值? 为什么我必须pipe理ZSK – 不应该BIND,给予一个KSK,能够为我照顾这个?