Route53 DS记录的key tag错误。

0

【以下的问题经过翻译处理】 我在AWS上注册了example.com,并且为这个顶级域名添加了一个KSK密钥并激活DNSSEC以使用该密钥。然后我到Route 53控制台选择example.com,“管理密钥”并添加了来自上一步骤(“建立信任链”->“Route 53 registar”)的“公钥”内容。

dig example.com @8.8.8.8 DS
;; ANSWER SECTION:
example.com.		21600	IN	DS	**2___7** 13 2 E4B...44 42...48
example.com.		21600	IN	DS	**1___7** 13 2 18A...C8 BB...86

=> Dig返回了正确的记录,但是Key Tag比Route 53 Key详情页中的值少1。

我又重复了一次上述步骤,结果得到完全相同的结果。对于Child Zones/Subdomains,我自己添加了DS记录,它可以正常工作。我使用Verisignlabs测试我的顶级域名:https://dnssec-analyzer.verisignlabs.com/example.com,发现下面2个错误,其他功能正常:

  • 3个DNSKEY记录都无法被DS记录验证(在此需要提到,我现在确实有3个密钥 -> 其中一个是我错误添加的并将其删除,但尚未传播)
  • DNSKEY RRset没有被任何可信的密钥签名

我不知道DNSSEC内部的细节,但在DS记录中具有不同的Key Tag值可能会导致问题,因为它将生成不同的SHA。由于顶级的DS记录并不是手动添加的,而是通过添加公钥并从那里派生的,所以这个错误的Key Tag是不是Route53造成的?

delv @8.8.8.8 example.com  
;; broken trust chain resolving 'example.com/A/IN': 8.8.8.8#53
;; resolution failed: broken trust chain
dig example.com @8.8.8.8 DNSKEY
...
;; ANSWER SECTION:
example.com.		3600	IN	DNSKEY	256 3 13 wyTR...Fxu+ /+R+Zr...Q== **-> wrong deleted key**
example.com.		3600	IN	DNSKEY	257 3 13 3wV0...OxK qKFjjm...A== **-> first key**
example.com.		3600	IN	DNSKEY	257 3 13 6NVX...Io0 J11HP...Q== -> **second key**

在上面的Dig输出中,Key都被分割成了介于33~55个字符的长度。但如果将2个部分组合起来,它的值是正确的。我不确定这是Dig特定的输出格式所导致的,或者是因为它包含了SHA/Salt,或者原本就是这样。

profile picture
EXPERTE
gefragt vor 5 Monaten11 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 我发现问题的原因了:密钥类型必须是“KSK”,而不能是“ZSK”。

profile picture
EXPERTE
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen