DNSSEC符号区会导致致命故障。

Question

我有一个工作的DNS在一个VM-env测试和学习的目的。它是一个来自根域和两个子域的完整服务器。

我增加了

dnssec-enable yes;

在named.conf中，还创建了ZSV-和KSK-键，并将它们附加到我的一个子域。

我试着走一条简单的路，只签一个域名。假设我有

home.garage.top

作为我的顶级和子域名，我想签回家，只有家。我使用

dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051

这应该会产生一个home.db.signed或home.signed，但它不会。我得到的只是

dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone
dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone

我做错了什么？

Answer 1

您正在指定原点为home.db (使用-o)。这实际上是区域的名称吗，听起来像是区域的名称是home.garage.top吗？

这种不匹配符合你得到的那种错误信息。

不过，作为关于DNSSEC和BIND的一般建议，我建议使用内置功能进行区域维护，而不是手动调用dnssec-signzone (并以某种方式进行调度)。

查看auto-dnssec maintain也有可能inline-signing yes设置以及本指南。