Domain-Name-System

在 AWS 上,在創建 DS 記錄期間,我收到一條錯誤消息,DNS 名稱為 ex.com 的 DS 記錄不允許在區域 ex.com 中使用。為什麼會這樣?

  • March 5, 2021

環境: AWS、DNSSEC

當我嘗試創建 DS 記錄以建立信任鏈時,我收到一個我不理解的錯誤。

我的完整錯誤。

Error occurred
Bad request.
(InvalidChangeBatch 400: RRSet of type DS with DNS name example.com. is not permitted in zone example.com.)

奇怪的是,當我嘗試將密鑰添加到像*www.example.com*這樣的子域時,它可以工作。但這不是我需要的。我需要它為整個域工作。

DS記錄example.comcom作為代表團的一部分進入區域,而不是example.com區域本身。這就是信任鏈的形成方式,您DS從已經驗證/信任的父區域獲得簽名。

(在這樣的範例中,它將通過您的註冊商進行管理。)

sub.example.com同樣,如果您要在其他地方委託,例如,您將DS在區域中擁有(如果適用)example.com作為委託的一部分sub.example.com。(這就是您可以添加DS其他名稱的原因。)

引用自:https://serverfault.com/questions/1055995