Назад | Перейти на главную страницу

DNSSEC - первая подпись

Я тестирую DNSSEC с Bind 9.7.2-P2. У меня вопрос по поводу первой подписи, созданной для уже существующей зоны. Я использую динамический DNS.

Я создаю первые два ключа: один KSK и один ZSK. В соответствии с https://datatracker.ietf.org/doc/draft-ietf-dnsop-dnssec-key-timing/, первый ZSK должен быть опубликован в течение интервала, равного Ipub, прежде чем он станет активным.

Я создаю ZSK с датой публикации, предшествующей дате активации. Я перезапускаю службу и вижу, что ключ опубликован в дату публикации, но не активен позже, когда наступит дата активации.

Это конфигурация зоны dnssec.es в файле named.conf:

zone "dnssec.es" {
  auto-dnssec maintain;
  update-policy local;
  sig-validity-interval 1;
  key-directory "dnssec/keys_dnssec";
  type master;
  file "dnssec/db.dnssec.es";
};

Любая подсказка ??

С уважением

Соображения по времени, обсуждаемые в этом интернет-проекте, относятся к переходу от одного ключа к другому, чтобы дать время для подписей из предыдущего ZSK истечь из кешей. Нет необходимости предварительно публиковать ZSK, когда вы подписываете зону в первый раз.

Здесь произошло следующее: вы сказали начать подписывать зону, используя только один ключ - KSK. Поскольку других опубликованных ключей не было, он подписал всю зону одним доступным ключом - KSK. (Это законный DNSSEC, но это не типичная конфигурация. Если есть было был активным ZSK, он подписал бы запись DNSKEY с помощью KSK и подписал бы все остальное с помощью только ZSK, но он должен был работать с тем, что ему было дано.)

Некоторое время спустя ZSK был опубликован (но не активирован), поэтому он был добавлен в запись DNSKEY, но не использовался для подписи. Позже ZSK действительно стал активным, но к этому моменту все записи в зоне уже подписаны, так что, согласно так называемому имени, сейчас нет необходимости выполнять какую-либо работу. Когда срок действия подписей KSK приближается к истечению срока их действия, они должны автоматически удаляться из зоны и заменяться подписями из уже активного ZSK. Поскольку у вас установлен sig-validity-interval равный одному дню, это должно начаться где-то завтра.

В любом случае, для ваших целей вы просто хотели сделать два ключа, которые были опубликованы и активны немедленно. Вам не нужно думать об интервалах между предварительной публикацией, пока вы не свернете ключи.

Эван (главный автор BIND 9.7)