DNSSECサインゾーンは致命的な失敗をもたらします
テストと学習の目的で、VM-envにDNSが機能しています。これは、ルートドメインといくつかのサブドメインからなる完全なサーバーです。
私は追加しました
dnssec-enable yes;
names.confに追加し、ZSVキーとKSKキーを作成して、サブドメインの1つに追加しました。
私は簡単な道をたどり、1つのドメインにのみ署名しようとしています。私が持っているとしましょう
home.garage.top
私のトップドメインとサブドメインとして、そして私は家に署名したい、そして家だけ。私が使う
dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051
これにより、home.db.signedまたはhome.signedが生成されますが、生成されません。私が得るのは
dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone
dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone
私は何が間違っているのですか?
オリジンがhome.dbであることを指定しています(-oを使用)。それは実際にはゾーンの名前ですか、ゾーンの名前はむしろhome.garage.topのように聞こえましたか?
この種の不一致は、表示される種類のエラーメッセージに適合します。
ただし、DNSSECとBINDに関する一般的な提案として、手動でdnssec-signzoneを呼び出す(そして何らかの方法でスケジュールする)のではなく、ゾーンのメンテナンスに組み込みの機能を利用することをお勧めします。
auto-dnssec maintainおよび場合によってはinline-signing yes設定 および このガイド を参照してください。