环境: AWS、DNSSEC
当我尝试创建 DS 记录以建立信任链时,我收到一个我不理解的错误。
我的完整错误。
Error occurred
Bad request.
(InvalidChangeBatch 400: RRSet of type DS with DNS name example.com. is not permitted in zone example.com.)
奇怪的是,当我尝试将密钥添加到像www.example.com这样的子域时,它可以工作。但这不是我需要的。我需要它为整个域工作。
的
DS记录example.com将com作为代表团的一部分进入区域,而不是example.com区域本身。这就是信任链的形成方式,您DS从已经验证/信任的父区域获得签名。(在这样的示例中,它将通过您的注册商进行管理。)
sub.example.com同样,如果您要在其他地方委托,例如,您将DS在区域中拥有(如果适用)example.com作为委托的一部分sub.example.com。(这就是您可以添加DS其他名称的原因。)