Я создал записи DNSSEC для своего домена, используя старое руководство от serverfault.com [ https://serverfault.com/questions/405528/basic-dnssec-configuration-under-bind-9-7 ], и теперь я хотел бы добавить мои данные DNSSEC к записям моего регистратора доменов, но я немного застрял на том, что поместить в их таблицу.

Keytag: У меня есть keyid в моем файле открытого ключа, так что это будет?

Алгоритм: я знаю, что это 5.

Тип дайджеста: Я знаю, что это RSASHA1.

Дайджест: Не уверен: я проверил различные строки из файлов, где я мог быть уверен, что строки были открытыми, а не частными, но я продолжаю видеть ту же ошибку: ОШИБКА: Ошибка диапазона значений параметра

Может ли кто-нибудь просветить меня об этом, пожалуйста?

...

Готов к путанице ссылка: http://www.rfc-editor.org/rfc/rfc4034.txt

1 ответ1

2

В зависимости от реестра, информация, которую вы должны предоставить, будет точно соответствовать записи DNSKEY (для .eu) или записи DS (большинство других реестров). Поскольку вас просят "переварить", это означает "DS".

Это означает, что вы можете замкнуть это, перейдя к разделу "Дайджест" ниже, сгенерировав запись DS из вашего ключа (или зоны), и скопировав / вставив все поля прямо из него.

Отдельные поля:

Ключевой тег: такой же, как keyid. Записи DS имеют ключевой тег, который состоит из 5-значного (или иногда 4-значного; обычно 16-разрядного) числа (на основе хеша всего ключа). Если ваши сгенерированные файлы ключей были названы Kexample.com.+005+12345.key , ключевой тег - 12345. Это будет показано и в dnssec-dsfromkey .

Алгоритм: в вашей зоне это 5 для RSASHA1.

Тип дайджеста: Это точно не RSASHA1. Это может быть либо 1 для SHA1, либо 2 для SHA256, но это не зависит от самой зоны: оно просто указывает, какой тип хеша вы дадите в следующем поле. Обычно для одного и того же ключа добавляются записи DS с обоими типами хэшей.

Дайджест: это не может быть взято непосредственно из ваших ключевых файлов; он может быть сгенерирован из них с использованием таких инструментов, как dnssec-dsfromkey или ldns-key2ds:

$ dnssec-dsfromkey Kexample.com+005+12345.key

$ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.

(Флаг -A необходим, потому что у вас нет ZSK, т.е. ключей с установленным флагом SEP. Хотя технически это допустимо, это может вызвать много неприятностей из-за того, что инструменты пропускают не-SEP ключи.)

По умолчанию команда покажет две записи DS, используя разные хэши; Вы можете добавить и то, и другое. Если вы выбрали RSASHA1, потому что вы стремитесь к лучшей совместимости (что, я думаю, если бы вы поддерживали IPv4), то вам следует также включить запись SHA1 DS. В противном случае, SHA256 также уже широко поддерживается.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .