Domain-Name-System
將 DS 記錄添加到 DNS 中的父級
我正在嘗試為我的域設置 DNSSEC。一切似乎都正常,但我收到以下錯誤:
在子節點找到 DNSKEY,但在父節點未找到 DS。
檢查父區域中的 DS 記錄
我們發現您的任何 DNSKEY 記錄都未在父級發布。所有 KSK(密鑰簽名密鑰)都應有相應的 DS 記錄,其中包含父區域的密鑰摘要。
建議
為父 DNS 區域中的所有 DNSKEY (KSK) 記錄發布 DS 記錄。這將建立從父區域到您的區域的信任鏈。
任何人都知道問題可能是什麼?
我正在為我的 BIND 配置使用 webmin,它有一個名為 dnssec 驗證的選項,我認為它是通過https://dlv.isc.org/完成的。
我為此做了一個截圖:
問題完全出在引用的文本中。
驗證 DNSSEC 簽名數據需要:
- 從根區域到您自己的完整信任鏈,或
- 為您的區域配置特定的“信任錨”
在大多數情況下,既然根實際上已簽名,則首選前者。您的區域中有一個
DNSKEY
,您應該將DS
記錄送出給您的父區域管理員。然後他們用自己的密鑰簽署該記錄,同樣,他們自己的DS
記錄被發送到他們的父區域,這可能是根。但是,這確實要求您的域和根之間的每一級 DNS 也具有 DNSSEC。
你的域名是什麼?您的父域很可能還不支持 DNSSEC。
如果他們不這樣做,那麼下一個最佳選擇是將您的 DS 記錄送出到 ISC 的“DLV”儲存庫。這是一個得到很好支持的 DNS 功能,它允許為尚未完全安全的信任鏈一直到“根”的域安全分發信任錨。在那裡添加您的記錄將允許其他人驗證您的域名。
EDIT ISC 的 DLV 不再執行。