Tentando adicionar registros DNSSEC de registradores, - precisar de alguma orientação, por favor

0

Eu criei registros DNSSEC para meu domínio usando um guia antigo de serverfault.com [ link ] e agora gostaria de adicionar meus detalhes do DNSSEC aos registros do registrador de meu domínio, mas estou um pouco preso sobre o que colocar em sua tabela.

Keytag: Eu tenho um keyid no meu arquivo de chave pública, então seria isso?

Algoritmo: Eu sei que isso é 5 .

Tipo de resumo: Eu sei que isso é RSASHA1 .

Resumo: Não tenho certeza: testei várias cadeias de caracteres dos arquivos, onde posso ter certeza de que as cadeias eram públicas, não particulares, mas continuo vendo o mesmo erro: ERRO: Erro de intervalo de valor de parâmetro

Alguém pode me esclarecer sobre isso, por favor?

...

Link Ready for Confusion: link

    
por Y Treehugger Cymru 10.05.2018 / 03:16

1 resposta

2

Dependendo do registro, as informações que você precisa fornecer corresponderão exatamente a um registro DNSKEY (para .eu) ou a um registro DS (a maioria dos outros registros). Como você está pedindo por um "digest", isso significa DS.

Isso significa que você pode causar um curto-circuito pulando para a seção "Digest" abaixo, gerando um registro do DS da sua chave (ou zona) e copiando / colando todos os campos diretamente dele.

Os campos individuais são:

Tag de chave: O mesmo que keyid. Os registros do DS têm uma tag de chave que é um número de 5 dígitos (ou às vezes 4 dígitos; geralmente 16 bits) (com base em um hash da chave inteira). Se os arquivos de chave gerados foram nomeados Kexample.com.+005+12345.key , a tag de chave é 12345. Ela também será mostrada na saída dnssec-dsfromkey .

Algoritmo: Na sua zona, é 5 para RSASHA1.

Tipo de resumo: Isso definitivamente não RSASHA1. Pode ser 1 para SHA1 ou 2 para SHA256, mas não depende da zona em si: ela apenas indica o tipo de hash que você fornecerá no campo a seguir. É comum adicionar registros do DS com os dois tipos de hash para a mesma chave.

Resumo: Isso não pode ser obtido diretamente de seus arquivos-chave; pode ser gerado , usando ferramentas como dnssec-dsfromkey ou ldns-key2ds :

$ dnssec-dsfromkey Kexample.com+005+12345.key

$ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.

(O sinalizador -A é necessário porque você não possui ZSKs, ou seja, chaves com o sinalizador SEP definido. Embora seja tecnicamente válido, isso pode causar muito incômodo devido a ferramentas ignorando chaves não-SEP.)

Por padrão, o comando mostrará dois registros do DS usando diferentes hashes; você pode adicionar os dois ou o que você quiser. Se você escolheu RSASHA1 porque você deseja a melhor compatibilidade (que eu acredito que você tenha suportado o IPv4) , então você deve incluir o registro SHA1 DS também. Caso contrário, o SHA256 também é amplamente suportado.

    
por 10.05.2018 / 07:08