У меня есть рабочий DNS в VM-env для тестирования и изучения целей. Это - полный сервер от корневого домена и нескольких субдоменов.
Я добавил
dnssec-enable yes;
в named.conf, и также созданный ZSV-и KSK-ключи и добавленный их к одному из моих субдоменов.
Я пытаюсь выбрать легкое путь и только подписываю один домен. Скажем, я имею
home.garage.top
как моя вершина - и субдомены, и я хочу подписаться домой и только разместить. Я использую
dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051
Это должно произвести home.db.signed или home.signed, но он не делает. Все, что я получаю,
dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone
dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone
Что я делаю неправильно?
Вы указываете, что источником является home.db
(используется -o
). Это действительно название зоны, оно звучало так, как будто название зоны было скорее home.garage.top
?
Такое несоответствие соответствовало бы типичному сообщению об ошибке, которое вы получаете.
Однако в качестве общего предложения относительно DNSSEC и BIND я бы предложил использовать встроенные функции для обслуживания зоны, а не вызывать dnssec-signzone
вручную (и каким-то образом планировать это).
См. автоматическое поддержание DNS
и, возможно, встроенное подписание да
настройки , а также это руководство .