Domain-Name-System

將 DS 記錄添加到 DNS 中的父級

  • December 18, 2017

我正在嘗試為我的域設置 DNSSEC。一切似乎都正常,但我收到以下錯誤:

在子節點找到 DNSKEY,但在父節點未找到 DS。

檢查父區域中的 DS 記錄

我們發現您的任何 DNSKEY 記錄都未在父級發布。所有 KSK(密鑰簽名密鑰)都應有相應的 DS 記錄,其中包含父區域的密鑰摘要。

建議

為父 DNS 區域中的所有 DNSKEY (KSK) 記錄發布 DS 記錄。這將建立從父區域到您的區域的信任鏈。

任何人都知道問題可能是什麼?

我正在為我的 BIND 配置使用 webmin,它有一個名為 dnssec 驗證的選項,我認為它是通過https://dlv.isc.org/完成的。

我為此做了一個截圖:

替代文字

問題完全出在引用的文本中。

驗證 DNSSEC 簽名數據需要:

  1. 從根區域到您自己的完整信任鏈,或
  2. 為您的區域配置特定的“信任錨”

在大多數情況下,既然根實際上已簽名,則首選前者。您的區域中有一個DNSKEY,您應該將DS記錄送出給您的父區域管理員。然後他們用自己的密鑰簽署該記錄,同樣,他們自己的DS記錄被發送到他們的父區域,這可能是根。

但是,這確實要求您的域和根之間的每一級 DNS 也具有 DNSSEC。

你的域名是什麼?您的父域很可能還不支持 DNSSEC。

如果他們不這樣做,那麼下一個最佳選擇是將您的 DS 記錄送出到 ISC 的“DLV”儲存庫。這是一個得到很好支持的 DNS 功能,它允許為尚未完全安全的信任鏈一直到“根”的域安全分發信任錨。在那裡添加您的記錄將允許其他人驗證您的域名。

EDIT ISC 的 DLV 不再執行。

引用自:https://serverfault.com/questions/180881