DNSSEC + Bind : dnskey被tld失效

Question

我正试图在我的权威dns绑定计算机上启用DNSSEC。到目前为止，我已经完成了以下教程：

• 生成KSK和ZSK键:dnssec keygen -a RSASHA1 -b 1024 -n ZONE zonename dnssec keygen -a RSASHA1 -b 4096 -n ZONE -f KSK zonename
• 在区域中包含发布密钥并对区域进行签名：-o zonename -k KSKfile zonefile ZSKfile
• 在named.conf中添加有符号区域以代替旧区域
• 重新启动绑定

我不知道我是不是漏掉了什么东西，但是支持DNSSEC的注册员一直告诉我：

Error Signature DNSKEY entries is not valid.
Error Signature SOA entry is not valid.

有人知道怎么解决这个问题吗？是否有任何在线DNSSEC工具显示更多关于dnssec状态的信息？

Answer 1

据我所知，有三个DNSSEC在线检查程序：

• http://dnssec-debugger.verisignlabs.com/
• http://dnscheck.iis.se/
• http://www.zonecheck.fr/

从你的问题中不清楚的是你要求你的注册官做什么。如果您在您自己的计算机上承载域(似乎是这样的)，那么您应该发送的所有注册服务器都是您的DS记录，这样他们就可以将其发送到适当的注册表。

顺便说一句，您在签名前是否在区域文件中包含了两个公钥？在第二个要点中，您只提到上面的一个键。除此之外，你所做的看起来还可以。

Answer 2

我管理一个在线DNS检查工具列表，特别强调DNSSEC。