DNSの親にDSレコードを追加する
ドメインにDNSSECを設定しようとしています。すべてが機能しているようですが、次のエラーが発生します。
DNSKEYは子で見つかりましたが、DSは親で見つかりませんでした。
親ゾーンのDSレコード)を確認します
DNSKEYレコードはいずれも親で公開されていないことがわかりました。すべてのKSK(キー署名キー)には、親ゾーンのキーのダイジェストを含む対応するDSレコードが必要です。
勧告
公開DS親DNSゾーン内のすべてのDNSKEY(KSK)レコードのレコード。これにより、親からゾーンへの信頼のチェーンが確立されます。
誰もが問題が何であるか知っていますか?
BIND構成にwebminを使用していますが、dnssec検証と呼ばれるオプションがあり、 https://dlv.isc.org/ を介して実行されると思います。
私はこれのスクリーンショットを作りました:
問題は、引用されたテキストに正確に一致しています。
DNSSEC署名データの検証には、次のいずれかが必要です。
- ルートゾーンから自分のゾーンまでの完全な信頼の連鎖、または
- ゾーンの特定の「トラストアンカー」の構成
ほとんどの場合、ルートが実際に署名されているため、前者が優先されます。ゾーンにDNSKEYがあり、親ゾーンの管理者にDSレコードを送信する必要があります。次に、独自のキーを使用してそのレコードに署名します。同様に、独自のDSレコードが、ルートである可能性のある親ゾーンに送信されます。
ただし、これには、ドメインとルートの間のDNSのすべてのレベルにもDNSSECが必要です。
あなたのドメインは何ですか?親ドメインがまだDNSSECをサポートしていない可能性があります。
そうでない場合、次善の策は、DSレコードをISCの「DLV」リポジトリに送信することです。これは、ドメインのトラストアンカーの安全な配布を可能にする十分にサポートされたDNS機能です。 「ルート」に至るまでの完全に安全な信頼の連鎖はまだありません。そこにレコードを追加すると、他の人が検証できるようになります。あなたのドメイン名。
[〜#〜] edit [〜#〜] ISCのDLVは動作しなくなりました。