В зависимости от реестра, информация, которую вы должны предоставить, будет точно соответствовать записи DNSKEY (для .eu) или записи DS (большинство других реестров). Поскольку вас просят "переварить", это означает "DS".
Это означает, что вы можете замкнуть это, перейдя к разделу "Дайджест" ниже, сгенерировав запись DS из вашего ключа (или зоны), и скопировав / вставив все поля прямо из него.
Отдельные поля:
Ключевой тег: такой же, как keyid. Записи DS имеют ключевой тег, который состоит из 5-значного (или иногда 4-значного; обычно 16-разрядного) числа (на основе хеша всего ключа). Если ваши сгенерированные файлы ключей были названы Kexample.com.+005+12345.key , ключевой тег - 12345. Это будет показано и в dnssec-dsfromkey .
Алгоритм: в вашей зоне это 5 для RSASHA1.
Тип дайджеста: Это точно не RSASHA1. Это может быть либо 1 для SHA1, либо 2 для SHA256, но это не зависит от самой зоны: оно просто указывает, какой тип хеша вы дадите в следующем поле. Обычно для одного и того же ключа добавляются записи DS с обоими типами хэшей.
Дайджест: это не может быть взято непосредственно из ваших ключевых файлов; он может быть сгенерирован из них с использованием таких инструментов, как dnssec-dsfromkey или ldns-key2ds:
$ dnssec-dsfromkey Kexample.com+005+12345.key
$ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.
(Флаг -A необходим, потому что у вас нет ZSK, т.е. ключей с установленным флагом SEP. Хотя технически это допустимо, это может вызвать много неприятностей из-за того, что инструменты пропускают не-SEP ключи.)
По умолчанию команда покажет две записи DS, используя разные хэши; Вы можете добавить и то, и другое. Если вы выбрали RSASHA1, потому что вы стремитесь к лучшей совместимости (что, я думаю, если бы вы поддерживали IPv4), то вам следует также включить запись SHA1 DS. В противном случае, SHA256 также уже широко поддерживается.
