В зависимости от реестра, информация, которую вы должны предоставить, будет точно соответствовать записи DNSKEY (для .eu) или записи DS (большинство других реестров). Поскольку вас просят «переварить», это означает «DS».
Это означает, что вы можете замкнуть это, перейдя к разделу «Дайджест» ниже, сгенерировав запись DS из вашего ключа (или зоны), и скопировав / вставив все поля прямо из него.
Отдельные поля:
Ключевой тег: такой же, как keyid. Записи DS имеют ключевой тег, который состоит из 5-значного (или иногда 4-значного; обычно 16-разрядного) числа (на основе хеша всего ключа). Если ваши сгенерированные файлы ключей были названы Kexample.com.+005+12345.key
, ключевой тег будет 12345. Он также будет показан в dnssec-dsfromkey
выходных данных.
Алгоритм: в вашей зоне это 5
для RSASHA1.
Тип дайджеста: Это точно не RSASHA1. Это может быть либо 1
для SHA1, либо 2
для SHA256, но это не зависит от самой зоны: оно просто указывает, какой тип хеша вы дадите в следующем поле. Обычно для одного и того же ключа добавляются записи DS с обоими типами хэшей.
Дайджест: это не может быть взято непосредственно из ваших ключевых файлов; он может быть сгенерирован из них, используя такие инструменты как dnssec-dsfromkey
или ldns-key2ds
:
$ dnssec-dsfromkey Kexample.com+005+12345.key $ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.
(Этот -A
флаг необходим, потому что у вас нет ZSK, то есть ключей с установленным флагом SEP. Хотя это технически допустимо, это может вызвать большое раздражение из-за инструментов, пропускающих не-SEP ключи.)
По умолчанию команда покажет две записи DS, используя разные хэши; Вы можете добавить и то, и другое. Если вы выбрали RSASHA1, потому что вы стремитесь к лучшей совместимости (что, я думаю, если бы вы поддерживали IPv4), то вам следует также включить запись SHA1 DS. В противном случае, SHA256 также уже широко поддерживается.