J'exécute la commande suivante pour dnssec sur debian 8. Mais j'obtiens une erreur :
# dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) -N INCREMENT -o myzone.local -t myzone.local.zone
dnssec-signzone: warning: Kmyzone.local.+007+16956.key:5: no TTL specified; zone rejected
dnssec-signzone: fatal: failed loading zone from 'myzone.local.zone': no ttl
Je suppose que vous êtes aussi resté bloqué sur le Tutoriel Digital Ocean .
Donc, si vous avez créé votre KSK et votre ZSK avec l'option dnssec-keygen vous auriez dû utiliser l'option -L pour définir le TTL dans les fichiers, comme ceci :
# dnssec-keygen -L 3600 -a NSEC3RSASHA1 -b 2048 -n ZONE example.com
# dnssec-keygen -L 3600 -f KSK -a NSEC3RSASHA1 -b 2048 -n ZONE example.comIl se peut que cet argument n'ait pas été requis (par défaut 3600 ?) lorsque le tutoriel a été écrit.
Si vous avez déjà généré les fichiers, je pense que vous pouvez simplement les éditer (tous deux nommés Kexample.com.*.key ). Il suffit d'ajouter "3600" avant "IN" sur la ligne de l'enregistrement. Donc à partir de :
Khexample.com.+008+27593.key:example.com. IN DNSKEY 256 3 8 <key>à :
Khexample.com.+008+27593.key:example.com. 3600 IN DNSKEY 256 3 8 <key>Je ne suis pas sûr que 3600 soit une bonne valeur ou non, mais c'est ce que l'auteur du tutoriel a dit recommandé . Mon autre source était man dnssec-keygen .
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
