DNSSEC + Bind: dnskey invalidado por tld

Navegue suas respostas
3

Estou tentando ativar o DNSSEC na minha máquina authoritative dns Bind. Até agora, fiz o seguinte tutorial :

  • Gere as chaves KSK e ZSK:

    dnssec-keygen -a RSASHA1 -b 1024 -n ZONE nome de zona

    dnssec-keygen -a RSASHA1 -b 4096 -n ZONA -f KSK zonename

  • Inclua a chave do pub na zona e assine a zona:

    dnssec-signzone -o nome-z -k KSKfile zonefile ZSKfile

  • Adicione a zona assinada no lugar da antiga em named.conf

  • Restart Bind

Não sei se perdi alguma coisa, mas o registrador que oferece suporte ao DNSSEC continua me dizendo: 

Error Signature DNSKEY entries is not valid.
Error Signature SOA entry is not valid.

Alguém sabe como resolver isso? Existe alguma ferramenta DNSSEC on-line que exibe mais informações sobre o status do dnssec?

    
por Kami 20.07.2010 / 18:05

3 respostas

2

Existem três verificadores on-line do DNSSEC que eu conheço:

O que não está claro na sua pergunta é exatamente o que você está solicitando ao seu registrador. Se você estiver hospedando o domínio em sua própria máquina (o que parece ser o caso), tudo o que você deve enviar ao seu registrador é seu registro DS , para que eles possam enviá-lo para o registro apropriado.

BTW, você incluiu ambas chaves públicas no seu arquivo de zona antes de assiná-lo? Você menciona apenas uma chave acima no segundo ponto. Além disso, o que você fez parece OK.

    
por 21.07.2010 / 10:41
3

Eu me sinto obrigado a responder, enquanto escrevia o tutorial que você está seguindo. :)

Sem informações adicionais (o nome da zona, por exemplo), as mensagens de erro fornecidas pelo registrador são um pouco genéricas demais para fornecer uma pista sobre qual é o problema real.

Se você fornecer informações adicionais, veremos o que parece desse lado ...

Se você já resolveu o problema, eu estaria bastante interessado em saber o que causou o problema.

    
por 26.10.2010 / 14:20
1

Eu gerencio uma lista de ferramentas de verificação de DNS on-line , com ênfase especial no DNSSEC.

    
por 27.10.2010 / 09:01

Tags

Pergunta de registro do balanceador de carga do Apache Como as redes de campus da faculdade são tipicamente estruturadas?