DNSSEC - sprava klicu

Jan Kasprzak kas na fi.muni.cz
Pátek Srpen 13 18:24:50 CEST 2010


Pavel Kankovsky wrote:
: On Fri, 6 Aug 2010, Jan Kasprzak wrote:
: 
: > - jak vygeneruju samostatny podpis DNSKEY zaznamu se ZSK pomoci KSK?
: 
: Když se dnssec-signzone půstí na zónový soubor jen s KSK (který má
: příznak, že je KSK), tak vyrobí RRSIG jen na DNSKEY, ne? Ten pak lze ručně 
: vystřihnout a vlepit do původní zóny a dál už jí podepisovat jen pomocí 
: ZSK (ten vlepený podpis tam zůstane).
: 
: Uznávám, že to není moc sofistikované.

	Jo, neni. Kdyz uz na to vystrihovani a dalsi pouziju Perl,
nejspis v nem napisu i to podepisovani samotne.

: > - jak se resi kdyz chci zacit pouzivat novy ZSK? Mam mit nejakou dobu
: > 	v zone DNSKEY zaznamy pro dva ZSK klice (novy a stary) + DNSKEY
: > 	zaznam pro KSK?
: 
: Je to popsané v RFC 4641.

	Jo, mezitim jsem nasel.

: > 	Je nejaky nastroj na monitorovani platnosti podpisu?
: 
: To záleží na tom, zda má umět včasné varování. :)

	Tohle jsem si napsal v Perlu.

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list.     --Alan Cox



Další informace o konferenci Linux