DNSSEC - Первая подпись

Question

DNSSEC - Первая подпись

Я тестирую DNSSEC с помощью Bind 9.7.2-P2. У меня есть вопрос относительно первой подписи, созданной в зоне, которая уже существует. Я использую динамический DNS.

Я создаю первые два ключа: один KSK и один ZSK. Согласно https://datatracker.ietf.org/doc/draft-ietf-dnsop-dnssec-key-timing/, первый ZSK должен быть опубликован за интервал, равный Ipub, прежде чем он станет активным.

Я создаю ZSK с датой публикации, предшествующей дате его активации. Я перезапускаю службу и вижу, что ключ опубликован на дату публикации, но он не активен позже, когда наступает дата активации.

Это конфигурация зоны dnssec.es в файле named.conf:

zone "dnssec.es" {
  auto-dnssec maintain;
  update-policy local;
  sig-validity-interval 1;
  key-directory "dnssec/keys_dnssec";
  type master;
  file "dnssec/db.dnssec.es";
};

Любая подсказка??

С уважением

2

dnssec keys

Источник

Arancha 29 ноя '10 в 14:04

1 ответ

Другие вопросы по тегам dnssec keys

Evan Hunt 19 фев '11 в 21:25 2011-02-19 21:25 · Answer 1 · 2011-02-19 21:25

Временные соображения, обсуждаемые в этом интернет-проекте, предназначены для того, чтобы при переходе от одного ключа к другому дать возможность времени для подписей из предыдущего ZSK истечь из кэшей. Нет необходимости предварительно публиковать ZSK, когда вы впервые подписываете зону.

Здесь произошло то, что вы сказали начать подписывать зону, используя только один ключ - KSK. Поскольку других опубликованных ключей не было, он подписал всю зону одним доступным ключом - KSK. (Это законный DNSSEC, но это не типичная конфигурация. Если бы существовал активный ZSK, он подписал бы запись DNSKEY с KSK и подписал бы все остальное только с ZSK, но он должен был работать с тем, что ему дали.)

Некоторое время спустя ZSK был опубликован (но не активирован), поэтому он был добавлен в запись DNSKEY, но не использовался для подписи. Позже, ZSK стал активным, но записи в зоне уже все подписаны на тот момент, так что, по мнению имен, нет необходимости выполнять какую-либо работу прямо сейчас. Когда подписи KSK приближаются к времени истечения срока их действия, они должны автоматически удаляться из зоны и заменяться подписями из теперь активного ZSK. Поскольку интервал sig-validity установлен в один день, это должно произойти где-то завтра.

В любом случае, для ваших целей вы просто хотели сделать два ключа, которые были опубликованы и активны немедленно. Вам не нужно думать об интервалах предварительной публикации, пока вы не покатите ключи.

Эван (основной автор BIND 9.7)