Собсно стал ленивый и надоело мне вручную (пусть и скриптом) подписывать зоны, решил попробовать новомодную фишку в бинде, автоподпись.
dnssec включен:
...
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
...
zone "domain.ru" {
type master;
auto-dnssec maintain;
inline-signing yes;
update-policy local;
key-directory "dnssec-keys/domain.ru";
file "master/domain.ru.zone";
};
Ключи в dnssec-keys/domain.ru положены. При запуске оно пишет что всё зашибись, ща полетаем!
25-May-2012 16:40:44.996 zone domain.ru/IN (unsigned): loaded serial 2012052502
25-May-2012 16:40:44.996 zone domain.ru/IN (signed): loaded serial 2012052502
25-May-2012 16:40:44.998 all zones loaded
25-May-2012 16:40:44.998 running
25-May-2012 16:40:44.998 zone domain.ru/IN (signed): receive_secure_serial: unchanged
25-May-2012 16:40:44.998 zone domain.ru/IN (signed): reconfiguring zone keys
25-May-2012 16:40:44.999 zone domain.ru/IN (signed): next key event: 25-May-2012 17:40:44.998
25-May-2012 16:40:44.999 zone domain.ru/IN (signed): sending notifies (serial 2012052502)
Но при попытке энтот днссек проверить:
# dig domain.ru +dnssec @127.0.0.1
Оно мне выдает обычный, не подписаный, днс ответ. Хотя с боевого сервера, где крутится куча зон, подписанных по-дедовски, выдает всё как надо, с RRSIG-ами и танцовщицами.
В логах при этом ничего вразумительного не пишет, просто запрос:
25-May-2012 16:41:50.914 client 127.0.0.1#37193 (domain.ru): query: domain.ru IN A +ED (127.0.0.1)
Бинд 9.9.1
Куда копать. товарисчи?
Всякие файлы типа domain.ru.singed, domain.ru.jbd и т.п. оно создает.
