Назад | Перейти на главную страницу

Как удалить удаленный ZSK из BIND?

Я настроил свой (авторитетный) сервер имен BIND для DNSSEC и установил один ZSK для моей единственной в настоящее время зоны. Чтобы проверить, могу ли я использовать несколько ZSK для одной зоны, я создал новую пару ключей и скопировал ее в ту же папку, что и первая пара ключей. После перезагрузки сервер нашел новую пару ключей ZSK и подписал зону обоими ZSK.

Теперь я заметил, что мне не нужны два ZSK одновременно, и подумал, что могу удалить новый ZSK так же, как я его добавил, и удалил соответствующие файлы в каталоге конфигурации.

К сожалению, это не привело к удалению нового ZSK из системы, и после перезагрузки на сервере имен отсутствуют файлы, и он все еще отвечает обоими ZSK через DNS.

Теперь мой вопрос: как я могу удалить информацию о втором ZSK, которую знает BIND, и вернуться к подписанию с помощью одного ZSK?

Мне удалось решить проблему, запустив rndc delzone mydomain.example, затем удалив все автоматически созданные файлы, которые начинаются с имени файла файла зоны, а затем перезапустили (а не перезагружали, я уже пробовал только это) сервер, использующий service named restart.

Теперь у меня только подписи с оставшимся ЗСК.

Я надеюсь, что это может помочь кому-то другому в будущем.

Это руководство может вам помочь: https://www.nlnetlabs.nl/publications/dnssec_howto/

Есть специальный абзац о ролловерах ZSK. В производственных системах не следует выполнять пролонгацию вручную, особенно ZSK, поскольку они неизбежно происходят «часто». Вам следует использовать такое программное обеспечение, как OpenDNSSEC.