DNSSEC - sprava klicu
Jan Kasprzak
kas na fi.muni.cz
Pátek Srpen 13 18:24:50 CEST 2010
Pavel Kankovsky wrote:
: On Fri, 6 Aug 2010, Jan Kasprzak wrote:
:
: > - jak vygeneruju samostatny podpis DNSKEY zaznamu se ZSK pomoci KSK?
:
: Když se dnssec-signzone půstí na zónový soubor jen s KSK (který má
: příznak, že je KSK), tak vyrobí RRSIG jen na DNSKEY, ne? Ten pak lze ručně
: vystřihnout a vlepit do původní zóny a dál už jí podepisovat jen pomocí
: ZSK (ten vlepený podpis tam zůstane).
:
: Uznávám, že to není moc sofistikované.
Jo, neni. Kdyz uz na to vystrihovani a dalsi pouziju Perl,
nejspis v nem napisu i to podepisovani samotne.
: > - jak se resi kdyz chci zacit pouzivat novy ZSK? Mam mit nejakou dobu
: > v zone DNSKEY zaznamy pro dva ZSK klice (novy a stary) + DNSKEY
: > zaznam pro KSK?
:
: Je to popsané v RFC 4641.
Jo, mezitim jsem nasel.
: > Je nejaky nastroj na monitorovani platnosti podpisu?
:
: To záleží na tom, zda má umět včasné varování. :)
Tohle jsem si napsal v Perlu.
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list. --Alan Cox
Další informace o konferenci Linux