將 DS 記錄添加到 DNS 中的父級

我正在嘗試為我的域設置 DNSSEC。一切似乎都正常，但我收到以下錯誤：

在子節點找到 DNSKEY，但在父節點未找到 DS。

檢查父區域中的 DS 記錄

我們發現您的任何 DNSKEY 記錄都未在父級發布。所有 KSK（密鑰簽名密鑰）都應有相應的 DS 記錄，其中包含父區域的密鑰摘要。

建議

為父 DNS 區域中的所有 DNSKEY (KSK) 記錄發布 DS 記錄。這將建立從父區域到您的區域的信任鏈。

任何人都知道問題可能是什麼？

我正在為我的 BIND 配置使用 webmin，它有一個名為 dnssec 驗證的選項，我認為它是通過https://dlv.isc.org/完成的。

我為此做了一個截圖：

問題完全出在引用的文本中。

驗證 DNSSEC 簽名數據需要：

1. 從根區域到您自己的完整信任鏈，或
2. 為您的區域配置特定的“信任錨”

在大多數情況下，既然根實際上已簽名，則首選前者。您的區域中有一個DNSKEY，您應該將DS記錄送出給您的父區域管理員。然後他們用自己的密鑰簽署該記錄，同樣，他們自己的DS記錄被發送到他們的父區域，這可能是根。

但是，這確實要求您的域和根之間的每一級 DNS 也具有 DNSSEC。

你的域名是什麼？您的父域很可能還不支持 DNSSEC。

如果他們不這樣做，那麼下一個最佳選擇是將您的 DS 記錄送出到 ISC 的“DLV”儲存庫。這是一個得到很好支持的 DNS 功能，它允許為尚未完全安全的信任鏈一直到“根”的域安全分發信任錨。在那裡添加您的記錄將允許其他人驗證您的域名。

EDIT ISC 的 DLV 不再執行。

引用自：https://serverfault.com/questions/180881