Я пытаюсь понять, как Bind управляет подписями ключей зоны DNSSEC без внешнего вмешательства. В частности, какой процесс (с именем?) Определяет, что срок действия подписи зоны скоро истечет, и каковы методы обнаружения и отказа.
Сама named регулярно опрашивает все ключи зоны, а затем запускает процесс обновления? Требуются ли дополнительные настройки, помимо перечисленных ниже, для работы автоматического обслуживания? Должно ли обновление запускаться с помощью rndc или перезагрузки по имени?
. . .
options {
. . .
dnssec-enable yes;
key-directory "/usr/local/etc/namedb/master/";
dnssec-validation auto;
. . .
}
. . .
zone example.com {
type master;
file "/usr/local/etc/namedb/master/example.com.hosts";
key-directory "/usr/local/etc/namedb/master/";
auto-dnssec maintain;
inline-signing yes;
};
В соответствии с https://www.sidn.nl/a/dnssec/dnssec-signatures-in-bind- named Ниже приводится текущая процедура:
Если вы используете опцию «auto-dnssec maintenance», каталог ключей проверяется каждый час на предмет изменений пар ключей. В зависимости от метаданных в файлах ключей каждой паре ключей присваивается статус «не опубликовано», «опубликовано», «активно», «просрочено» или «отозвано». Таким образом, опубликованные записи DNSKEY автоматически обновляются. Кроме того, при необходимости можно сбросить цифровые подписи (в записях RRSIG). Таким образом, эффект от этой опции такой же, как от включения команды 'rndc sign' в задание cron в сочетании с опцией 'auto-dnssec allow'.