В зависимости от реестра, информация, которую вы должны предоставить, будет точно соответствовать записи DNSKEY (для .eu) или записи DS (в большинстве других реестров). Поскольку вас просят «переварить», это означает «DS».
Это означает, что вы можете замкнуть это, перейдя к разделу «Дайджест» ниже, сгенерировав запись DS из вашего ключа (или зоны), и скопировав / вставив все поля прямо из него.
Отдельные поля:
Ключевой тег: такой же, как keyid. Записи DS имеют ключевой тег, который состоит из 5-значного (или иногда 4-значного; обычно 16-разрядного) числа (на основе хеша всего ключа). Если ваши сгенерированные файлы ключей были названы Kexample.com.+005+12345.key, ключевой тег будет 12345. Он также будет показан в dnssec-dsfromkeyвыходных данных.
Алгоритм: в вашей зоне это 5для RSASHA1.
Тип дайджеста: Это точно не RSASHA1. Это может быть как 1для SHA1, так и 2для SHA256, но это не зависит от самой зоны: оно просто указывает, какой тип хеша вы дадите в следующем поле. Обычно для одного и того же ключа добавляются записи DS с обоими типами хэшей.
Дайджест: это не может быть взято непосредственно из ваших ключевых файлов; он может быть сгенерирован из них, используя такие инструменты как dnssec-dsfromkeyили ldns-key2ds:
$ dnssec-dsfromkey Kexample.com+005+12345.key
$ dig example.com. dnskey @::1 | dnssec-dsfromkey -A -f - example.com.
( -AФлаг необходим, потому что у вас нет ZSK, то есть ключей с установленным флагом SEP. Хотя это технически допустимо, это может вызвать большое раздражение из-за инструментов, пропускающих не-SEP ключи.)
По умолчанию команда покажет две записи DS, используя разные хэши; Вы можете добавить и то, и другое. Если вы выбрали RSASHA1, потому что вы стремитесь к лучшей совместимости (что, я думаю, если бы вы поддерживали IPv4) , то вам следует также включить запись SHA1 DS. В противном случае, SHA256 также уже широко поддерживается.