向 RIR 注册 ROA/RPKI

生成 RSA 私钥和自签名 X.509 证书

使用以下 OpenSSL 命令生成 RSA 私钥和自签名 X.509 证书：

openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem
openssl req -new -x509 -key private-key.pem -out certificate.pem -days 365

执行过程中，系统会提示您为私钥设置密码，并填写证书信息，包括：

• Country Name (C)：国家代码（如美国为 US）

• State or Province Name (ST)：州/省全名

• Locality Name (L)：城市名称

• Organization Name (O)：组织名称

• Organizational Unit Name (OU)：部门名称

• Common Name (CN)：证书对应的完整域名（如 www.example.com）

生成的文件包括：

• private-key.pem：RSA 私钥

• certificate.pem：自签名 X.509 证书

将证书上传至 RIR 的 RDAP 记录

1. 登录到您的 RIR 成员门户（例如 ARIN、RIPE NCC、APNIC 等）：

   • ARIN: https://www.arin.net

   • RIPE NCC: https://www.ripe.net

   • APNIC: https://www.apnic.net

   • LACNIC: https://www.lacnic.net

   • AFRINIC: https://www.afrinic.net

2. 找到您要更新的 IPv4 前缀对象。

3. 编辑该对象的 remarks 字段。

4. 将 certificate.pem 文件内容粘贴到 remarks 字段中。

5. 提交修改。

这样会将您的自签名证书与 IPv4 前缀关联到 RIR 的 RDAP 记录。

创建 ROA

ROA 是一种加密声明，证明某个 ASN 有权公告指定的 IP 前缀。

1. 确认将公告 IPv4 地址块的 ASN。

2. 进入 RIR 门户的 RPKI/ROA 管理页面，例如：

   • ARIN: “Resource Certificates / ROA”

   • RIPE NCC: “RPKI” → “Create ROA”

   • APNIC: “RPKI Manager”

3. 创建 ROA：

   • Prefix：要在 zenConsole 使用的 IPv4 前缀

   • Max length：通常与前缀长度一致（如 /24）

   • Origin ASN：用于公告前缀的 ASN，可为您的 ASN 或云服务商提供的 ASN（Zenlayer 的 ASN 为 65534）

发布 ROA

ROA 创建后将被数字签名并发布到 RPKI 仓库。大多数云服务商会定期在全球 RPKI 仓库中验证 ROA。

验证 ROA 传播情况

可使用以下工具进行验证：

• RIPEstat

• RPKI Validator

确认 ROA 状态为 valid，且前缀和 ASN 匹配。