Я настроил свой (авторитетный) сервер имен BIND для DNSSEC и установил один ZSK для моей единственной в настоящее время зоны. Чтобы проверить, могу ли я использовать несколько ZSK для одной зоны, я создал новую пару ключей и скопировал ее в ту же папку, что и первая пара ключей. После перезагрузки сервер нашел новую пару ключей ZSK и подписал зону обоими ZSK.
Теперь я заметил, что мне не нужны два ZSK одновременно, и подумал, что могу удалить новый ZSK так же, как я его добавил, и удалил соответствующие файлы в каталоге конфигурации.
К сожалению, это не привело к удалению нового ZSK из системы, и после перезагрузки на сервере имен отсутствуют файлы, и он все еще отвечает обоими ZSK через DNS.
Теперь мой вопрос: как я могу удалить информацию о втором ZSK, которую знает BIND, и вернуться к подписанию с помощью одного ZSK?
Мне удалось решить проблему, запустив rndc delzone mydomain.example
, затем удалив все автоматически созданные файлы, которые начинаются с имени файла файла зоны, а затем перезапустили (а не перезагружали, я уже пробовал только это) сервер, использующий service named restart
.
Теперь у меня только подписи с оставшимся ЗСК.
Я надеюсь, что это может помочь кому-то другому в будущем.
Это руководство может вам помочь: https://www.nlnetlabs.nl/publications/dnssec_howto/
Есть специальный абзац о ролловерах ZSK. В производственных системах не следует выполнять пролонгацию вручную, особенно ZSK, поскольку они неизбежно происходят «часто». Вам следует использовать такое программное обеспечение, как OpenDNSSEC.