web-dev-qa-db-ja.com

DNSSEC +バインド:tldによって無効化されたdnskey

権限のあるDNSバインドマシンでDNSSECを有効にしようとしています。これまでに私は次のことをしました チュートリアル

  • KSKおよびZSKキーを生成します。

    dnssec-keygen -a RSASHA1 -b 1024 -nZONEゾーン名

    dnssec-keygen -a RSASHA1 -b 4096 -n ZONE -fKSKゾーン名

  • ゾーンにパブキーを含め、ゾーンに署名します。

    dnssec-signzone -o zonename -k KSKfile zonefile ZSKfile

  • Named.confの古いゾーンの代わりに署名されたゾーンを追加します

  • バインドを再開します

何かを見逃したかどうかはわかりませんが、DNSSECをサポートするレジストラは私に言い続けます:

Error Signature DNSKEY entries is not valid.
Error Signature SOA entry is not valid.

誰かがこれを解決する方法を知っていますか? dnssecステータスに関する詳細情報を表示するオンラインDNSSECツールはありますか?

3
Kami

私が知っているDNSSECオンラインチェッカーは3つあります。

あなたの質問から不明確なのは、まさにあなたがあなたのレジストラに何をするように頼んでいるのかということです。自分のマシンでドメインをホストしている場合(これは事実のようです)、レジストラに送信する必要があるのはDSレコードだけです。これにより、レジストラは適切なレジストリにドメインを送信できます。

ところで、署名する前に、ゾーンファイルにboth公開鍵を含めましたか?上記の2番目の箇条書きで1つのキーについてのみ言及します。それを除けば、あなたがしたことは大丈夫に見えます。

3
Alnitak

あなたがフォローしているチュートリアルを書いたので、私は答える義務があると感じています。 :)

追加情報(ゾーン名など)がないと、レジストラが提供するエラーメッセージは少し一般的すぎて、実際の問題が何であるかについての手がかりを提供できません。

追加情報を提供していただければ、こちら側から見ていきます...

あなたがすでに問題を解決しているなら、私は問題の原因に非常に興味があります。

3
Knobee

私は オンラインDNSチェックツール のリストを管理しており、特にDNSSECに重点を置いています。

1
bortzmeyer