Я запускаю следующую команду для dnssec на debian 8. Но получаю ошибку:
# dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) -N INCREMENT -o myzone.local -t myzone.local.zone
dnssec-signzone: warning: Kmyzone.local.+007+16956.key:5: no TTL specified; zone rejected
dnssec-signzone: fatal: failed loading zone from 'myzone.local.zone': no ttl
Я предполагаю, что вы также застряли на учебнике Digital Ocean.
Поэтому, если вы создали KSK и ZSK с помощью dnssec-keygen
, вы должны были использовать флаг -L
для установки TTL в файлах, например:
# dnssec-keygen -L 3600 -a NSEC3RSASHA1 -b 2048 -n ZONE example.com
# dnssec-keygen -L 3600 -f KSK -a NSEC3RSASHA1 -b 2048 -n ZONE example.com
Этот аргумент мог не потребоваться (по умолчанию 3600?) при написании руководства.
Если вы уже создали файлы, я думаю, вы можете просто отредактировать их (оба названы Kexample.com.*.key
). Просто добавьте «3600» перед «IN» в строке с записью. Итак, от:
Khexample.com.+008+27593.key:example.com. IN DNSKEY 256 3 8 <key>
до:
Khexample.com.+008+27593.key:example.com. 3600 IN DNSKEY 256 3 8 <key>
Я не уверен, что 3600 — это хорошее значение или нет, но это то, что автор учебника рекомендовал. Другим моим источником был man dnssec-keygen
.