Dependendo do registro, as informações que você precisa fornecer corresponderão exatamente a um registro DNSKEY (para .eu) ou a um registro DS (a maioria dos outros registros). Como você está pedindo por um "digest", isso significa DS.
Isso significa que você pode causar um curto-circuito pulando para a seção "Digest" abaixo, gerando um registro do DS da sua chave (ou zona) e copiando / colando todos os campos diretamente dele.
Os campos individuais são:
Tag de chave: O mesmo que keyid. Os registros do DS têm uma tag de chave que é um número de 5 dígitos (ou às vezes 4 dígitos; geralmente 16 bits) (com base em um hash da chave inteira). Se os arquivos de chave gerados foram nomeados Kexample.com.+005+12345.key
, a tag de chave é 12345. Ela também será mostrada na saída dnssec-dsfromkey
.
Algoritmo: Na sua zona, é 5
para RSASHA1.
Tipo de resumo: Isso definitivamente não RSASHA1. Pode ser 1
para SHA1 ou 2
para SHA256, mas não depende da zona em si: ela apenas indica o tipo de hash que você fornecerá no campo a seguir. É comum adicionar registros do DS com os dois tipos de hash para a mesma chave.
Resumo: Isso não pode ser obtido diretamente de seus arquivos-chave; pode ser gerado , usando ferramentas como dnssec-dsfromkey
ou ldns-key2ds
:
$ dnssec-dsfromkey Kexample.com+005+12345.key
$ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.
(O sinalizador -A
é necessário porque você não possui ZSKs, ou seja, chaves com o sinalizador SEP definido. Embora seja tecnicamente válido, isso pode causar muito incômodo devido a ferramentas ignorando chaves não-SEP.)
Por padrão, o comando mostrará dois registros do DS usando diferentes hashes; você pode adicionar os dois ou o que você quiser. Se você escolheu RSASHA1 porque você deseja a melhor compatibilidade (que eu acredito que você tenha suportado o IPv4) , então você deve incluir o registro SHA1 DS também. Caso contrário, o SHA256 também é amplamente suportado.