Fórum Root.cz

Hlavní témata => Server => Téma založeno: Rhinox 20. 06. 2026, 02:03:57

Název: BIND nepodepisuje zónu pomocí DNSSEC
Přispěvatel: Rhinox 20. 06. 2026, 02:03:57

Pokousim ze rozchodit dnssec dle zdejsiho navodu (www.root.cz/clanky/dnssec-s-bind-9-9-snadno-a-rychle) jenze od ty doby se neco zmenilo a ten postup nefunguje.

V prve rade, pokud zonove soubory upravim jako v navode:

Kód: [Vybrat]

zone "example.com" {
        type master;
        file "example.com";
        inline-signing yes;
        auto-dnssec maintain;
        key-directory "/etc/bind/keys";
};
bind ani nenabehne, kontrola konfigurace zahlasi ze "option 'auto-dnssec' no longer exist". Vyhodil sem tedy radek "auto-dnssec maintain;" (a ponechal jen "inline-signing yes;"), pak sice bind nabehne, jenze nepodepisuje:

Kód: [Vybrat]

# rndc signing -list example.com
No signing records found
Pred par lety sem dle toho postupu dnssec rozchodil, ale jak to mam udelat ted, kdyz "auto-dnssec" neni podporovano? A je vubec ten postup jeste pouzitelnej?

Název: Re:BIND nepodepisuje zónu pomocí DNSSEC
Přispěvatel: Petr Krčmář 20. 06. 2026, 02:20:00

Skutečně jste narazil na postup, který byl v serveru BIND dlouho označen za zastaralý a od verze 9.20 není podporován. Aktuální postup využívající KASP shrnuje loňský článek DNSSEC snadno a rychle s automatickou správou v serveru BIND (https://www.root.cz/clanky/dnssec-snadno-a-rychle-s-automatickou-spravou-v-serveru-bind/).

Název: Re:BIND nepodepisuje zónu pomocí DNSSEC
Přispěvatel: Rhinox 20. 06. 2026, 03:49:24

Dekuji! Precetl sem, a rozchodil. Zbyva jenom jeden detail: chtel sem prejit na nsec3, tudiz sem do /etc/bind/named.conf.options dle navodu pridal:

Kód: [Vybrat]

dnssec-policy "nsec3" {
    nsec3param iterations 1 optout false salt-length 16;
};

"named-checkconf" mi pak vyhazuje:

Kód: [Vybrat]

named.conf.options:45: dnssec-policy: nsec3 iterations value 1 not allowed, must be zero

Nevim co to znamena, ale zrejme chce aby tam bylo "...iterations 0...", ze?