A zona de sinal DNSSEC resulta em falha fatal

Question

A zona de sinal DNSSEC resulta em falha fatal

#1 resposta do (4 votos)

2

Eu tenho um DNS em funcionamento em um VM-env para fins de teste e aprendizado. É um servidor completo do domínio raiz e alguns subdomínios.

Adicionei

dnssec-enable yes;

no named.conf, e também criou as chaves ZSV e KSK e as anexou a um dos meus subdomínios.

Estou tentando seguir o caminho fácil e apenas assinar um domínio. Digamos que eu tenha

home.garage.top

como meus principais e subdomínios, e quero fazer login em casa e só em casa. Eu uso

dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051

Isso deve produzir um home.db.signed ou home.signed, mas isso não acontece. Tudo que eu obtenho é

dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone
dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone

O que estou fazendo de errado?

keys domain-name-system dnssec

por Joakim Hellström 28.12.2014 / 14:15

1 resposta

Tags keys domain-name-system dnssec

Serviço falha ao iniciar - muito pouca informação nos logs Como atualizar o IE no antigo sistema WinXP?

score 4 · Accepted Answer

Você está especificando que a origem é home.db (usando -o ). Isso é realmente o nome da zona, soou como o nome da zona foi home.garage.top ?

Esse tipo de incompatibilidade se encaixa na mensagem de erro que você está recebendo.

Como uma sugestão geral sobre DNSSEC e BIND, no entanto, sugiro fazer uso da funcionalidade interna para manutenção de zona em vez de chamar dnssec-signzone manualmente (e agendar isso de alguma forma).

Veja as configurações de auto-dnssec maintain e possivelmente inline-signing yes bem como este guia .