DNSSEC - sprava klicu
Jan Kasprzak
kas na fi.muni.cz
Pátek Srpen 6 16:50:40 CEST 2010
Dotaz k praktickemu nasazeni DNSSEC:
V manualech vsude pisou o ZSK a KSK pricemz evidentne se pocita
s tim, ze ZSK bude ulozeny na primarnim nameserveru a bude podepisovat
zonu z cronu (protoze platnost podpisu je treba 30 dni), zatimco KSK
bude ulozeny na bezpecnejsim miste a bude se pouzivat jen pri vygenerovani
noveho ZSK k jeho podpisu. Nicmene vsechny navody na ktere jsem narazil volaji
dnssec-signzone s obema klici (cili predpokladaji ulozeni obou tajnych
klicu vedle sebe).
No a ted je nekolik otazek:
- jak vygeneruju samostatny podpis DNSKEY zaznamu se ZSK pomoci KSK?
- jak tomuto podpisu nastavim dobu platnosti?
- jake jsou best practices v nastavovani teto doby? dnssec-keyzone
implicitne podepisuje na 30 dni, ale rekl bych, ze signatura ZSK
klicem KSK by mela mit delsi platnost, ne?
- jak se resi kdyz chci zacit pouzivat novy ZSK? Mam mit nejakou dobu
v zone DNSKEY zaznamy pro dva ZSK klice (novy a stary) + DNSKEY
zaznam pro KSK?
Je nejaky nastroj na monitorovani platnosti podpisu?
Diky,
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list. --Alan Cox
Další informace o konferenci Linux