DNSSEC - sprava klicu

[Jan Kasprzak]

	Dotaz k praktickemu nasazeni DNSSEC:

	V manualech vsude pisou o ZSK a KSK pricemz evidentne se pocita
s tim, ze ZSK bude ulozeny na primarnim nameserveru a bude podepisovat
zonu z cronu (protoze platnost podpisu je treba 30 dni), zatimco KSK
bude ulozeny na bezpecnejsim miste a bude se pouzivat jen pri vygenerovani
noveho ZSK k jeho podpisu. Nicmene vsechny navody na ktere jsem narazil volaji
dnssec-signzone s obema klici (cili predpokladaji ulozeni obou tajnych
klicu vedle sebe).

	No a ted je nekolik otazek:

- jak vygeneruju samostatny podpis DNSKEY zaznamu se ZSK pomoci KSK?
- jak tomuto podpisu nastavim dobu platnosti?
- jake jsou best practices v nastavovani teto doby? dnssec-keyzone
	implicitne podepisuje na 30 dni, ale rekl bych, ze signatura ZSK
	klicem KSK by mela mit delsi platnost, ne?
- jak se resi kdyz chci zacit pouzivat novy ZSK? Mam mit nejakou dobu
	v zone DNSKEY zaznamy pro dva ZSK klice (novy a stary) + DNSKEY
	zaznam pro KSK?

	Je nejaky nastroj na monitorovani platnosti podpisu?

	Diky,

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list.     --Alan Cox