Abhängig von der Registrierung entsprechen die Informationen, die Sie bereitstellen müssen, genau einem DNSKEY-Eintrag (für .eu) oder einem DS-Eintrag (die meisten anderen Register). Da Sie nach einem "Digest" gefragt werden, bedeutet dies DS.
Das bedeutet, dass Sie dies kurzschließen können, indem Sie zum nachfolgenden Abschnitt "Digest" springen, einen DS-Datensatz aus Ihrem Schlüssel (oder Ihrer Zone) generieren und alle Felder direkt daraus kopieren / einfügen.
Die einzelnen Felder sind:
Schlüsseltag: Wie keyid. DS-Datensätze haben ein Schlüsselkennzeichen, das eine 5-stellige (oder manchmal 4-stellige, im Allgemeinen 16-Bit-) Zahl ist (basierend auf einem Hash des gesamten Schlüssels). Wenn Ihre generierten Schlüsseldateien benannt wurden Kexample.com.+005+12345.key
, lautet das Schlüsselkennzeichen 12345. Es wird auch in der dnssec-dsfromkey
Ausgabe angezeigt .
Algorithmus: In Ihrer Zone ist es 5
für RSASHA1.
Digest Type: Das ist definitiv kein RSASHA1. Dies kann entweder 1
für SHA1 oder 2
für SHA256 sein, hängt aber nicht von der Zone selbst ab: Sie zeigt lediglich an, welche Art von Hash Sie im folgenden Feld angeben werden. Es ist üblich, DS-Datensätze mit beiden Hashtypen für denselben Schlüssel hinzuzufügen.
Digest: Dies kann nicht direkt aus Ihren Schlüsseldateien entnommen werden. es kann aus ihnen generiert werden, mit solchen Werkzeugen wie dnssec-dsfromkey
oder ldns-key2ds
:
$ dnssec-dsfromkey Kexample.com+005+12345.key $ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.
(Das -A
Flag wird benötigt, weil Sie keine ZSKs haben, dh Schlüssel mit gesetztem SEP-Flag. Technisch gültig, kann dies jedoch sehr ärgerlich sein, da Tools keine SEP-Schlüssel überspringen.)
Standardmäßig zeigt der Befehl zwei DS-Datensätze mit unterschiedlichen Hashwerten an. Sie können beides hinzufügen oder was immer Sie möchten. Wenn Sie sich für RSASHA1 entschieden haben, weil Sie die beste Kompatibilität anstreben (was ich glaube, wenn Sie IPv4 unterstützen würden), sollten Sie auch den SHA1-DS- Eintrag mit einschließen . Ansonsten wird SHA256 bereits weitgehend unterstützt.