DNSSEC - sprava klicu
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Pondělí Srpen 9 22:50:43 CEST 2010
On Fri, 6 Aug 2010, Jan Kasprzak wrote:
> - jak vygeneruju samostatny podpis DNSKEY zaznamu se ZSK pomoci KSK?
Když se dnssec-signzone půstí na zónový soubor jen s KSK (který má
příznak, že je KSK), tak vyrobí RRSIG jen na DNSKEY, ne? Ten pak lze ručně
vystřihnout a vlepit do původní zóny a dál už jí podepisovat jen pomocí
ZSK (ten vlepený podpis tam zůstane).
Uznávám, že to není moc sofistikované.
> - jak tomuto podpisu nastavim dobu platnosti?
dnssec-signzone -e?
> - jake jsou best practices v nastavovani teto doby? dnssec-keyzone
> implicitne podepisuje na 30 dni, ale rekl bych, ze signatura ZSK
> klicem KSK by mela mit delsi platnost, ne?
To asi záleží na tom, jak rychle by mělo být možno KSK v případě potřeby
vyměnit (bez dalekosáhlejších opatření).
> - jak se resi kdyz chci zacit pouzivat novy ZSK? Mam mit nejakou dobu
> v zone DNSKEY zaznamy pro dva ZSK klice (novy a stary) + DNSKEY
> zaznam pro KSK?
Je to popsané v RFC 4641.
> Je nejaky nastroj na monitorovani platnosti podpisu?
To záleží na tom, zda má umět včasné varování. :)
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /
Další informace o konferenci Linux