Comment créer un enregistrement Deleger Signer (DS) pour un sous-domaine avec PowerDNS?

Question

J'ai un domaine mydomain.com. Les serveurs DNS pour ce domaine sont sous mon contrôle et j'exécute PowerDNS là. J'ai configuré DNSSEC pour mon domaine principal mydomain.com et j'ai enregistré les clés au bureau d'enregistrement. Tout fonctionne bien pour le domaine principal. Cependant, lorsque je crée des sous-domaines (zones) avec interface graphique PowerAdmin je reçois l'erreur suivante pour mes sous-domaines de l'outil d'analyse DNSSEC à http://dnssec-debugger.verisignlabs.com/: Aucun enregistrement DS n'a été trouvée pour subdomain.mydomain.com dans la zone mydomain.com

Question: comment ajouter cet enregistrement DS à mydomain.com zone avec powerdns?

Answer 1

Note: Je ne l'ai pas utilisé PowerAdmin, donc c'est une réponse PowerDNS.

En supposant que vous avez signé ces sous-domaines/zones, vous utiliseriez show-zone pdnssec pour voir les enregistrements DS pour eux. Ensuite, insérez ces enregistrements DS dans la zone parente (mydomain.com), avec des champs définis comme ceci:

• id_domaine = id domain.com
• name = sub.mydomain.com
• type = DS
• content = copier/coller à partir pdnssec show-zone

Vous devez également insérer des enregistrements NS (comme ci-dessus, mais avec type = NS et content = nom de votre serveur), pour obtenir une délégation valide , même si c'est local!

Si vous ne se soucient pas vraiment de DNSSEC pour les sous-domaines, il suffit d'insérer les enregistrements NS et quitter les DS. Ceci indiquera aux validateurs que le sous-domaine est délibérément non sécurisé.