Versuch, Registrar DNSSEC Records hinzuzufügen - Bitte benötigen Sie einige Anleitungen

462
Y Treehugger Cymru

Ich habe DNSSEC-Einträge für meine Domain erstellt, wobei ein alter Leitfaden von serverfault.com [ https://serverfault.com/questions/405528/basic-dnssec-configuration-under-bind-9-7 ] verwendet wurde. Jetzt möchte ich hinzufügen meine DNSSEC-Angaben zu den Aufzeichnungen meiner Domain-Registrierstelle, aber ich bin ein bisschen fest, was ich wo in ihren Tisch legen muss.

Keytag: Ich habe eine Keyid- Datei in meiner öffentlichen Schlüsseldatei.

Algorithmus: Ich weiß, dass dies 5 ist .

Digest Type: Ich weiß, dass es sich um RSASHA1 handelt .

Digest: Nicht sicher: Ich habe verschiedene Zeichenfolgen aus den Dateien getestet, wobei ich sicher sein konnte, dass die Zeichenfolgen öffentlich und nicht privat waren. Ich sehe jedoch weiterhin den gleichen Fehler: ERROR: Parameterwertebereichfehler

Kann mich bitte jemand aufklären?

...

Bereit für Verwirrung Link: http://www.rfc-editor.org/rfc/rfc4034.txt

0

1 Antwort auf die Frage

2
grawity

Abhängig von der Registrierung entsprechen die Informationen, die Sie bereitstellen müssen, genau einem DNSKEY-Eintrag (für .eu) oder einem DS-Eintrag (die meisten anderen Register). Da Sie nach einem "Digest" gefragt werden, bedeutet dies DS.

Das bedeutet, dass Sie dies kurzschließen können, indem Sie zum nachfolgenden Abschnitt "Digest" springen, einen DS-Datensatz aus Ihrem Schlüssel (oder Ihrer Zone) generieren und alle Felder direkt daraus kopieren / einfügen.

Die einzelnen Felder sind:

Schlüsseltag: Wie keyid. DS-Datensätze haben ein Schlüsselkennzeichen, das eine 5-stellige (oder manchmal 4-stellige, im Allgemeinen 16-Bit-) Zahl ist (basierend auf einem Hash des gesamten Schlüssels). Wenn Ihre generierten Schlüsseldateien benannt wurden Kexample.com.+005+12345.key, lautet das Schlüsselkennzeichen 12345. Es wird auch in der dnssec-dsfromkeyAusgabe angezeigt .

Algorithmus: In Ihrer Zone ist es 5für RSASHA1.

Digest Type: Das ist definitiv kein RSASHA1. Dies kann entweder 1für SHA1 oder 2für SHA256 sein, hängt aber nicht von der Zone selbst ab: Sie zeigt lediglich an, welche Art von Hash Sie im folgenden Feld angeben werden. Es ist üblich, DS-Datensätze mit beiden Hashtypen für denselben Schlüssel hinzuzufügen.

Digest: Dies kann nicht direkt aus Ihren Schlüsseldateien entnommen werden. es kann aus ihnen generiert werden, mit solchen Werkzeugen wie dnssec-dsfromkeyoder ldns-key2ds:

$ dnssec-dsfromkey Kexample.com+005+12345.key  $ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.

(Das -AFlag wird benötigt, weil Sie keine ZSKs haben, dh Schlüssel mit gesetztem SEP-Flag. Technisch gültig, kann dies jedoch sehr ärgerlich sein, da Tools keine SEP-Schlüssel überspringen.)

Standardmäßig zeigt der Befehl zwei DS-Datensätze mit unterschiedlichen Hashwerten an. Sie können beides hinzufügen oder was immer Sie möchten. Wenn Sie sich für RSASHA1 entschieden haben, weil Sie die beste Kompatibilität anstreben (was ich glaube, wenn Sie IPv4 unterstützen würden), sollten Sie auch den SHA1-DS- Eintrag mit einschließen . Ansonsten wird SHA256 bereits weitgehend unterstützt.

ERFOLG: Befehl erfolgreich abgeschlossen! - Absolut perfekte Antwort, - Danke! Y Treehugger Cymru vor 5 Jahren 0

Verwandte Probleme