Установка роли DNS,
Подписывание зоны в диспетчере DNS.
Сервер DNS -> Зоны прямого просмотра -> подписываемая зона (правая кнопка мыши) -> DNSSEC -> Подписать зону.
Занесение DS ключей на сайт nic.ru
Услуги -> Мои домены -> подписываемый домен -> настройка DNSSEC
Указываем первичные DS key из файла c:\windows\system32\dns\dsset-[название зоны]
(стандартно при подписании зоны создается ключ с алгоритмом шифрования sha256 и ключ с алгоритмом шифрования sha1)
пример файла dnsset-[..] (указываем на сайте nic.ru, ключи от основной зоны /выделены зеленым/)
o5-25.net. 3600 IN DS 5800 8 1 (
EFBF0132BDCD5FEy6E9D7EA56665F7286376
3286 )
3600 IN DS 5800 8 2 (
F1iy47C68024E4BlED0103CDFFA824C697C9
20862DB95D862C492504347F1650 )3600 IN DS 11674 8 1 (
5374F11315B51489E3953FsD013582DE9BD8
5484 )
3600 IN DS 11674 8 2 (
3F7D2B907A69op2kl7BC1DD187A23FE8EBBB
8AE8F892725484E918F625B7D51B )
на сайте https://dnsviz.net/ можно посмотреть результаты подписания зоны.
и казалось бы на этом все, но нет сайт онлайн тестирования зоны https://dnsviz.net/ говорит об ошибке.
no valid RRSIGsmade by a key corresponding to a DS RR were found convering the DNSKEY RRset, resulting in no secure entry point (SEP) into the zone
а ларчик просто открывался, в windows server 2019 открываем командную строку от имени администратора и пишем:
DnsCmd.exe /Config /enablednssec 1
и вуаля все работает.