Zdravím,
využil jsem vašich poznatků jak přesvědčit bind 9.9.5, který je v debianu a snažím se to replikovat na redhat, který má dokonce bind 9.9.4.
Co tedy všechno musí být v zónovém souboru za záznamy když využívám ECDSA šifru a inline-signing?
Mám tam DNSKEY, z něj udělanej "CDNSKEY" přes TYPE60 a HEXa zápis podle vás, pak taky DS, ale ten se mi z venku nepřekládá jako vám na skvelynet.cz, je to tím že ještě nemám řetězec důvěry? Ten CDNSKEY jsem tam zadal teprve včera cca v 18:00, tak nevím jestli mi přijde email o nálezu nebo mám něco špatně :D Za jak dlouho vám přišel?
Zajímavé je taky co se děje s Serial číslem, v zónovém souboru mám např.:2018030113, ale log napíše:
named[10032]: zone dns-sec.cz/IN (signed): sending notifies (serial 2018030116)
named[10032]: zone dns-sec.cz/IN (signed): reconfiguring zone keys
Musím tedy hlídat až do jakého čísla se povýšil podepsaný Serial abych neměl nižší číslo než aktuální?
zone dns-sec.cz/IN (signed): reconfiguring zone keys
Po změně serialu a rndc reload log píše toto:
named[10032]: zone dns-sec.cz/IN (unsigned): loaded serial 2018030201
named[10032]: zone dns-sec.cz/IN (signed): next key event: 02-Mar-2018 10:12:25.089
named[10032]: zone dns-sec.cz/IN (signed): serial 2018030201 (unsigned 2018030201)
Asi nechápu co to všechno znamená.
První řádek - že má nepodepsanou zónu?
Druhý řádek - že ji podepíše až v 10:12?
Třetí řádek - zóna s tímto serialem podepsaná a potom v závorce že je nepodepsaná?
Moc děkuji za všechny poznatky a odpovědi na možná stupidní otázky...