Я тестирую DNSSEC с Bind 9.7.2-P2. У меня вопрос по поводу первой подписи, созданной для уже существующей зоны. Я использую динамический DNS.
Я создаю первые два ключа: один KSK и один ZSK. В соответствии с https://datatracker.ietf.org/doc/draft-ietf-dnsop-dnssec-key-timing/, первый ZSK должен быть опубликован в течение интервала, равного Ipub, прежде чем он станет активным.
Я создаю ZSK с датой публикации, предшествующей дате активации. Я перезапускаю службу и вижу, что ключ опубликован в дату публикации, но не активен позже, когда наступит дата активации.
Это конфигурация зоны dnssec.es в файле named.conf:
zone "dnssec.es" {
auto-dnssec maintain;
update-policy local;
sig-validity-interval 1;
key-directory "dnssec/keys_dnssec";
type master;
file "dnssec/db.dnssec.es";
};
Любая подсказка ??
С уважением
Соображения по времени, обсуждаемые в этом интернет-проекте, относятся к переходу от одного ключа к другому, чтобы дать время для подписей из предыдущего ZSK истечь из кешей. Нет необходимости предварительно публиковать ZSK, когда вы подписываете зону в первый раз.
Здесь произошло следующее: вы сказали начать подписывать зону, используя только один ключ - KSK. Поскольку других опубликованных ключей не было, он подписал всю зону одним доступным ключом - KSK. (Это законный DNSSEC, но это не типичная конфигурация. Если есть было был активным ZSK, он подписал бы запись DNSKEY с помощью KSK и подписал бы все остальное с помощью только ZSK, но он должен был работать с тем, что ему было дано.)
Некоторое время спустя ZSK был опубликован (но не активирован), поэтому он был добавлен в запись DNSKEY, но не использовался для подписи. Позже ZSK действительно стал активным, но к этому моменту все записи в зоне уже подписаны, так что, согласно так называемому имени, сейчас нет необходимости выполнять какую-либо работу. Когда срок действия подписей KSK приближается к истечению срока их действия, они должны автоматически удаляться из зоны и заменяться подписями из уже активного ZSK. Поскольку у вас установлен sig-validity-interval равный одному дню, это должно начаться где-то завтра.
В любом случае, для ваших целей вы просто хотели сделать два ключа, которые были опубликованы и активны немедленно. Вам не нужно думать об интервалах между предварительной публикацией, пока вы не свернете ключи.
Эван (главный автор BIND 9.7)