DNSSEC - sprava klicu

[Pavel Kankovsky]

On Fri, 6 Aug 2010, Jan Kasprzak wrote:

> - jak vygeneruju samostatny podpis DNSKEY zaznamu se ZSK pomoci KSK?

Když se dnssec-signzone půstí na zónový soubor jen s KSK (který má
příznak, že je KSK), tak vyrobí RRSIG jen na DNSKEY, ne? Ten pak lze ručně 
vystřihnout a vlepit do původní zóny a dál už jí podepisovat jen pomocí 
ZSK (ten vlepený podpis tam zůstane).

Uznávám, že to není moc sofistikované.

> - jak tomuto podpisu nastavim dobu platnosti?

dnssec-signzone -e?

> - jake jsou best practices v nastavovani teto doby? dnssec-keyzone
> 	implicitne podepisuje na 30 dni, ale rekl bych, ze signatura ZSK
> 	klicem KSK by mela mit delsi platnost, ne?

To asi záleží na tom, jak rychle by mělo být možno KSK v případě potřeby
vyměnit (bez dalekosáhlejších opatření).

> - jak se resi kdyz chci zacit pouzivat novy ZSK? Mam mit nejakou dobu
> 	v zone DNSKEY zaznamy pro dva ZSK klice (novy a stary) + DNSKEY
> 	zaznam pro KSK?

Je to popsané v RFC 4641.

> 	Je nejaky nastroj na monitorovani platnosti podpisu?

To záleží na tom, zda má umět včasné varování. :)

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /