我正在使用 BIND 9.18.28-0ubuntu0.24.04.1-Ubuntu 来提供 DNSSEC 签名区域,但是当我更新区域时,签名区域的 SOA 序列与未签名的 SOA 无关。
上次更新后,我的未签名区域的区域文件具有 SOA 序列号 2024081200,但该区域的签名版本的序列号为 2024040710。
如果我对区域文件进行更改并将 SOA 序列更改为 2024081301 并重新加载,则将签名的序列更改绑定到 2024040711。
似乎无论我做什么更改,已签名区域的序列号都只会增加 1。我希望它使用未签名区域文件的序列号作为已签名序列号的新基础(在密钥轮换时将其增加 1)。
区域配置如下
zone "example.com" IN {
type primary;
file "/var/cache/bind/zones/example.com";
dnssec-policy default;
inline-signing yes;
};
我的 dnssec 策略如下所示
dnssec-policy standard {
dnskey-ttl 600;
keys {
ksk lifetime P365D algorithm ecdsap256sha256;
zsk lifetime P60D algorithm ecdsap256sha256;
};
max-zone-ttl P1D;
parent-ds-ttl PT1H;
parent-propagation-delay PT1H;
publish-safety PT1H;
retire-safety PT1H;
signatures-refresh P5D;
signatures-validity P14D;
signatures-validity-dnskey P14D;
zone-propagation-delay PT5M;
};
我错过了什么?