domain-name-system – 在DNS中将DS记录添加到父级

前端之家收集整理的这篇文章主要介绍了domain-name-system – 在DNS中将DS记录添加到父级前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在尝试为我的域设置DNSSEC.一切似乎都有效,但我收到以下错误

在孩子身上找到DNSKEY,但在父母身上找不到DS.

Check for DS records in parent zone

We found that none of your DNSKEY records are published at parent. All KSKs (Key Signing Keys) should have a corresponding DS record containing the digest of the key at the parent zone.

Recommendation
Publish DS records for all your DNSKEY (KSK) records in parent DNS zone. This will establish a chain of trust from the parent to your zone.

谁知道问题可能是什么?

我使用webmin进行BIND配置,它有一个名为dnssec验证的选项,我认为它是通过https://dlv.isc.org/完成的.

我为此做了一个截图:

解决方法

问题完全在于引用文本.

验证DNSSEC签名数据需要:

>从根区域到您自己的完整信任链,或
>为您的区域配置特定的“信任锚”

在大多数情况下,现在根目录已经签名,前者是首选.您的区域中有DNSKEY,您应该向父区域管理员提交DS记录.然后他们用自己的密钥签署该记录,同样他们自己的DS记录也会被发送到他们的父区域,这可能是根区域.

但是,这确实要求域和根之间的每个DNS级别都具有DNSSEC.

你的域名是什么?您的父域很可能还不支持DNSSEC.

如果他们不这样做,那么下一个最佳选择是将您的DS记录提交给ISC的“DLV”存储库.这是一个受到良好支持的DNS功能,它允许为尚未拥有完全安全信任链的域的安全分发信任锚,一直到“根”.添加您的记录将允许其他人验证您的域名.

EDIT ISC的DLV不再运行.

猜你在找的HTML相关文章