DNSSEC - sprava klicu znovu

[Jan Kasprzak]

	Dobre odpoledne,

pred rokem a neco jsem sem psal dotaz ohledne spravy klicu v DNSSECu.
Od te doby zda se doba moc nepokrocila, takze davam novou iteraci:

Dotaz na ty, kdo spravuji primarni DNS server s podepsanymi zonami:
- jak resite rollover klicu?

Co se tyce podepisovani samotneho, tam mi prijde nejrozumnejsi pristup
automatickeho podepisovani v BINDu 9.7 - casove informace jsou ulozeny
v lidsky citelne podobe primo ve verejnych klicich, podpisy jdou do
zurnalu, takze zona pro editaci zustava krasne citelna jako driv, atd.

Akorat to neumi spravu klicu a jejich zivotniho cyklu.
Pak existuji dnssec-tools, ktere mi prilis nevyhovuji, a OpenDNSEC, ktery
odradi uz konfiguraci v XML :-/.

Pritom co jsem pochopil, tak vsechny tyto systemy ocekavaji, ze ZSK
a KSK bude clovek mit nejak vedle sebe, idealne v jednom adresari. Timto
se ale uplne ztraci duvod, proc vlastne mit zvlast KSK a zvlast ZSK
a nepodepisovat to vsechno jednim klicem (ten duvod podle me je, ze
tajnou cast KSK bych mohl mit ulozenou na nejakem bezpecnejsim miste).

Dalsi dotaz je na auto-signingn v BINDu 9.7 - jak se tam da nastavit
doba, na jakou se generuje platnost jednotlivych podpisu? Kdyz jsem
nerekl nic, generuji se podpisy s platnosti jeden mesic. Coz je na otestovani
nahouby, protoze budu muset pockat mesic, jestli (a kdy) ty podpisy
BIND obnovi.

	Diky za jakekoli zkusenosti.

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list.     --Alan Cox