Почему ключевой тег DNSSEC всегда равен 2371?
Ваш вопрос непонятен. Кто об этом спрашивает?
То, что вы называете «ключевым тегом», - это то, что содержится в записях RRSIG , чтобы определить, какой ключ использовался для подписи записей и, следовательно, для создания этого RRSIG записи, см. RFC 4034 §3. Как правило, в определенный момент времени в зоне существует только один ключ подписи зоны (ZSK), поэтому все записи RRSIG действительно будут иметь один и тот же тег ключа.
Тег ключа тот же ... если вы используете тот же ключ.Тег ключа или идентификатор ключа ссылаются на ключ. Это не очень хорошая ссылка, потому что есть коллизии (пространство мало по определению 2 байта, поэтому 65536 значений теоретически, на практике меньше половины фактически из-за ошибок в алгоритме и реализациях), это просто для жизни системных администраторов проще.
Ваше значение, 2371 - это всего лишь одно случайное значение среди других, оно не имеет конкретного значения, но тогда вы не даете абсолютно никакого контекста в своем вопросе ... о каких доменах вы говорите? вы официальный оператор серверов имен или просто смотрите на чужие домены? вы установили DPS, чтобы понять о ключах, ротации ключей, подписях и т. д.?
Вы можете настроить несколько доменов с одним и тем же ключом, но это не рекомендуется, так как все ваши домены будут разделять судьбу, потребуется изменить соответствующие записи DS одновременно (если ключ - KSK) и т. д.
Даже для одного домена ваш ZSK должен регулярно меняться (обычно каждый месяц или два месяца - частые значения), а затем новый Появятся записи RRSIG , ссылающиеся на новый ключ, следовательно, с новым ключевым тегом.
Единственные ключевые теги (идентификаторы), которые редко меняются, - это теги в корневой зоне. Они никогда не меняются, они меняются редко. Они изменились год назад. Но они, вероятно, не скоро снова изменятся. Сейчас это 22545 и 20326:
$ dig +multi . DNSKEY
; <<>> DiG 9.11.5-P1-1ubuntu2.5-Ubuntu <<>> +multi . DNSKEY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41551
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;. IN DNSKEY
;; ANSWER SECTION:
. 22845 IN DNSKEY 256 3 8 (
AwEAAbPwrxwtOMENWvblQbUFwBllR7ZtXsu9rg/Ldykl
Ks9gU2GQTeOc59XjhuAPZ4WrT09z6YPL+vzIIJqnG3Hi
ru7hFUQ4pH0qsLNxrsuZrZYmXAKoVa9SXL1Ap0LygwrI
ugEk1G4v7Rk/Alt1jLUIE+ZymGtSEhIuGQdXrEmj3ffz
XY13H42X4Ja3vJTn/WIQOXY7vwHXGDypSh9j0Tt0hknF
1yVJCrIpfkhFWihMKNdMzMprD4bV+PDLRA5YSn3OPIeU
nRn9qBUCN11LXQKb+W3Jg+m/5xQRQJzJ/qXgDh1+aN+M
c9AstP29Y/ZLFmF6cKtL2zoUMN5I5QymeSkJJzc=
) ; ZSK; alg = RSASHA256 ; key id = 22545
. 22845 IN DNSKEY 257 3 8 (
AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTO
iW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN
7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5
LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8
efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7
pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLY
A4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws
9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=
) ; KSK; alg = RSASHA256 ; key id = 20326
Если вы запросите записи RRSIG в этой зоне, вы найдете один из этих идентификаторов ссылка:
$ dig com. NS +dnssec +multi @a.root-servers.net
[...]
com. 86400 IN RRSIG DS 8 1 86400 (
20191113170000 20191031160000 22545 .
UEC85qqrUaAML/8TSKs6971lvQAI0jCFAEamLCV2e5N/
wnnY2xsUF3TEWBfBB7VByxpRzzB87NuWNGh9jf6wlx7p
QQ/FidKxV+lk3LGDb6aqfM9ACRKlSm6xQb9k4Y21A2aO
lDsHXdfJaKsUvw7AHS6WqBDBsh6AKuDCL5zm/E03UP2A
8cDhVr1yNnvcY48il3JLAYsSMRviID/Q6lND446za6H3
w2LiqaMoXg4s/pVj0uV8Sc9G4csWesgXXthQSy3nBe77
DYca7vt89uN2eYFlTwTnCVYTkkNC67L0B95NRqRhMISA
MgdoFCcfwAgPpWeWLEcd72EuJ/IWBWBSgA== )
22545 - это ключевой тег или эта запись RRSIG, то есть используемый ключ
чтобы создать его.