Настройка DNSSEC для поддомена, на примере board.byhost.ru
Регистраторы доменных имен не работают с поддоменами, поэтому получить и указать DS-запись придется владельцу домена/поддомена самостоятельно.
Для этого необходимо создать DS-запись для поддомена board.byhost.ru и добавить её в родительскую зону byhost.ru для замыкания цепочки доверия.
Предварительно:
Создайте поддомен (например, board.byhost.ru) и настройте его в DNS.
Для родительского домена (например byhost.ru), включите и настройте DNSSEC.
Шаг 1: Получение DNSKEY-записей поддомена
Подключитесь к серверу по SSH и выполните команду, чтобы получить ключи поддомена. Используйте один из ваших авторитативных DNS-серверов (например, ns1.byhost.ru, ns2.byhost.ru и т.д.).
bash
dig @ns1.byhost.ru board.byhost.ru DNSKEY +short
Должна вернуться длинная строка вида:
257 3 13 xJhcpzgfHDg7kfGdOar/KKGEAghDGSfWj...
где 257 — это флаг KSK-ключа.
Шаг 2: Генерация DS-записи
На основе полученных DNSKEY-записей сгенерируйте DS-запись.
bash
dig @ns1.byhost.ru board.byhost.ru DNSKEY +noall +answer | dnssec-dsfromkey -a SHA-256 -f - board.byhost.ru
Скопируйте или запишите значения из вывода! Они понадобятся в следующем шаге:
board.byhost.ru. IN DS 876 13 2 28C4C5A54CA666DA17E2F79570AFFFAF2EF2576BE1B48924BE0A036A82A2CDDB
Расшифровка полученного значения (для понимания):
Key Tag: 876
Algorithm: 13
Digest Type: 2
Digest: 28C4C5A54CA… (длинная строка)
Шаг 3: Добавление DS-записи в родительскую зону в панели управления хостингом
Для родительского домена byhost.ru, в разделе «Записи DNS» нажмите «Добавить запись».
Заполните форму точно следующим образом:
Домен: byhost.ru (здесь не перепутайте!)
Запись: board (ВНИМАНИЕ: только имя поддомена, без @, без точки и т.д.)
Тип: DS (выбираете из выпадающего списка)
IP адрес или значение: 876 13 2 28C4C5A54CA666DA17E2F79570AFFFAF2EF2576BE1B48924BE0A036A82A2CDDB (ставьте ваши значения, разделенные пробелами)
Приоритет: Оставьте поле пустым.
TTL: Можно оставить пустым (для значения по умолчанию) или указать, например, 14400.
Нажмите «Добавить».
Шаг 4: Проверка цепочки доверия
Подождите 15-30 минут для распространения DNS-записей, затем проверьте работу:
Онлайн-проверка: Перейдите на сайт Verisign DNSSEC Debugger: https://dnssec-debugger.verisignlabs.com
Введите ваш поддомен в поле поиска: board.byhost.ru
Нажмите «Analyze» или просто нажмите «Enter».
Успешный результат: Все этапы проверки будут отмечены зелеными галочками, а вверху будет статус Success.
Это означает, что цепочка доверия DNSSEC от корня DNS до вашего поддомена полностью замкнута и работает корректно.
Дополнение:
Если вы используете одну из бесплатных хостинговых панелей, типа vestacp или hestiacp, то синхронизируйте свой ДНС-кластер:
v-sync-dns-cluster