Настройка DNSSEC для поддомена, на примере board.byhost.ru

Регистраторы доменных имен не работают с поддоменами, поэтому получить и указать DS-запись придется владельцу домена/поддомена самостоятельно.

Для этого необходимо создать DS-запись для поддомена board.byhost.ru и добавить её в родительскую зону byhost.ru для замыкания цепочки доверия.

Предварительно:

Создайте поддомен (например, board.byhost.ru) и настройте его в DNS.

Для родительского домена (например byhost.ru), включите и настройте DNSSEC.

Шаг 1: Получение DNSKEY-записей поддомена

Подключитесь к серверу по SSH и выполните команду, чтобы получить ключи поддомена. Используйте один из ваших авторитативных DNS-серверов (например, ns1.byhost.ru, ns2.byhost.ru и т.д.).

bash

dig @ns1.byhost.ru board.byhost.ru DNSKEY +short

Должна вернуться длинная строка вида:

257 3 13 xJhcpzgfHDg7kfGdOar/KKGEAghDGSfWj...

где 257 — это флаг KSK-ключа.

Шаг 2: Генерация DS-записи

На основе полученных DNSKEY-записей сгенерируйте DS-запись.

bash

dig @ns1.byhost.ru board.byhost.ru DNSKEY +noall +answer | dnssec-dsfromkey -a SHA-256 -f - board.byhost.ru

Скопируйте или запишите значения из вывода! Они понадобятся в следующем шаге:

board.byhost.ru. IN DS 876 13 2 28C4C5A54CA666DA17E2F79570AFFFAF2EF2576BE1B48924BE0A036A82A2CDDB

Расшифровка полученного значения (для понимания):

Key Tag: 876

Algorithm: 13

Digest Type: 2

Digest: 28C4C5A54CA… (длинная строка)

Шаг 3: Добавление DS-записи в родительскую зону в панели управления хостингом

Для родительского домена byhost.ru, в разделе «Записи DNS» нажмите «Добавить запись».

Заполните форму точно следующим образом:

Домен: byhost.ru (здесь не перепутайте!)

Запись: board (ВНИМАНИЕ: только имя поддомена, без @, без точки и т.д.)

Тип: DS (выбираете из выпадающего списка)

IP адрес или значение: 876 13 2 28C4C5A54CA666DA17E2F79570AFFFAF2EF2576BE1B48924BE0A036A82A2CDDB (ставьте ваши значения, разделенные пробелами)

Приоритет: Оставьте поле пустым.

TTL: Можно оставить пустым (для значения по умолчанию) или указать, например, 14400.

Нажмите «Добавить».

Шаг 4: Проверка цепочки доверия

Подождите 15-30 минут для распространения DNS-записей, затем проверьте работу:

Онлайн-проверка: Перейдите на сайт Verisign DNSSEC Debugger: https://dnssec-debugger.verisignlabs.com

Введите ваш поддомен в поле поиска: board.byhost.ru

Нажмите «Analyze» или просто нажмите «Enter».

Успешный результат: Все этапы проверки будут отмечены зелеными галочками, а вверху будет статус Success.

Это означает, что цепочка доверия DNSSEC от корня DNS до вашего поддомена полностью замкнута и работает корректно.

Дополнение:

Если вы используете одну из бесплатных хостинговых панелей, типа vestacp или hestiacp, то синхронизируйте свой ДНС-кластер:

v-sync-dns-cluster