DNSSEC - sprava klicu znovu
Jan Kasprzak
kas na fi.muni.cz
Pátek Říjen 14 16:41:29 CEST 2011
Dobre odpoledne,
pred rokem a neco jsem sem psal dotaz ohledne spravy klicu v DNSSECu.
Od te doby zda se doba moc nepokrocila, takze davam novou iteraci:
Dotaz na ty, kdo spravuji primarni DNS server s podepsanymi zonami:
- jak resite rollover klicu?
Co se tyce podepisovani samotneho, tam mi prijde nejrozumnejsi pristup
automatickeho podepisovani v BINDu 9.7 - casove informace jsou ulozeny
v lidsky citelne podobe primo ve verejnych klicich, podpisy jdou do
zurnalu, takze zona pro editaci zustava krasne citelna jako driv, atd.
Akorat to neumi spravu klicu a jejich zivotniho cyklu.
Pak existuji dnssec-tools, ktere mi prilis nevyhovuji, a OpenDNSEC, ktery
odradi uz konfiguraci v XML :-/.
Pritom co jsem pochopil, tak vsechny tyto systemy ocekavaji, ze ZSK
a KSK bude clovek mit nejak vedle sebe, idealne v jednom adresari. Timto
se ale uplne ztraci duvod, proc vlastne mit zvlast KSK a zvlast ZSK
a nepodepisovat to vsechno jednim klicem (ten duvod podle me je, ze
tajnou cast KSK bych mohl mit ulozenou na nejakem bezpecnejsim miste).
Dalsi dotaz je na auto-signingn v BINDu 9.7 - jak se tam da nastavit
doba, na jakou se generuje platnost jednotlivych podpisu? Kdyz jsem
nerekl nic, generuji se podpisy s platnosti jeden mesic. Coz je na otestovani
nahouby, protoze budu muset pockat mesic, jestli (a kdy) ty podpisy
BIND obnovi.
Diky za jakekoli zkusenosti.
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list. --Alan Cox
Další informace o konferenci Linux