Попытка добавить записи регистратора DNSSEC, - Нужны рекомендации, пожалуйста

413
Y Treehugger Cymru

Я создал записи DNSSEC для своего домена, используя старое руководство от serverfault.com [ https://serverfault.com/questions/405528/basic-dnssec-configuration-under-bind-9-7 ], и теперь я хотел бы добавить мои данные DNSSEC к записям моего регистратора доменов, но я немного застрял на том, что поместить в их таблицу.

Keytag: У меня есть keyid в моем файле открытого ключа, так что это будет?

Алгоритм: я знаю, что это 5 .

Тип дайджеста: Я знаю, что это RSASHA1 .

Дайджест: Не уверен: я проверил различные строки из файлов, где я мог быть уверен, что строки были открытыми, а не частными, но я продолжаю видеть ту же ошибку: ОШИБКА: Ошибка диапазона значений параметра

Может ли кто-нибудь просветить меня об этом, пожалуйста?

...

Готов к путанице ссылка: http://www.rfc-editor.org/rfc/rfc4034.txt

0

1 ответ на вопрос

2
grawity

В зависимости от реестра, информация, которую вы должны предоставить, будет точно соответствовать записи DNSKEY (для .eu) или записи DS (большинство других реестров). Поскольку вас просят «переварить», это означает «DS».

Это означает, что вы можете замкнуть это, перейдя к разделу «Дайджест» ниже, сгенерировав запись DS из вашего ключа (или зоны), и скопировав / вставив все поля прямо из него.

Отдельные поля:

Ключевой тег: такой же, как keyid. Записи DS имеют ключевой тег, который состоит из 5-значного (или иногда 4-значного; обычно 16-разрядного) числа (на основе хеша всего ключа). Если ваши сгенерированные файлы ключей были названы Kexample.com.+005+12345.key, ключевой тег будет 12345. Он также будет показан в dnssec-dsfromkeyвыходных данных.

Алгоритм: в вашей зоне это 5для RSASHA1.

Тип дайджеста: Это точно не RSASHA1. Это может быть либо 1для SHA1, либо 2для SHA256, но это не зависит от самой зоны: оно просто указывает, какой тип хеша вы дадите в следующем поле. Обычно для одного и того же ключа добавляются записи DS с обоими типами хэшей.

Дайджест: это не может быть взято непосредственно из ваших ключевых файлов; он может быть сгенерирован из них, используя такие инструменты как dnssec-dsfromkeyили ldns-key2ds:

$ dnssec-dsfromkey Kexample.com+005+12345.key  $ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com. 

(Этот -Aфлаг необходим, потому что у вас нет ZSK, то есть ключей с установленным флагом SEP. Хотя это технически допустимо, это может вызвать большое раздражение из-за инструментов, пропускающих не-SEP ключи.)

По умолчанию команда покажет две записи DS, используя разные хэши; Вы можете добавить и то, и другое. Если вы выбрали RSASHA1, потому что вы стремитесь к лучшей совместимости (что, я думаю, если бы вы поддерживали IPv4), то вам следует также включить запись SHA1 DS. В противном случае, SHA256 также уже широко поддерживается.

УСПЕХ: Команда успешно выполнена! - Абсолютно идеальный ответ, - спасибо! Y Treehugger Cymru 6 лет назад 0

Похожие вопросы