0

我现在正在研究 WMbind,并且正在制作一个名为 'signedzone' 的新模块。而且,我向 wmbind 数据库添加了一个表,它是一个键表。那么,正如上面提出的问题,我们是否必须在使用密钥签署区域之后存储密钥(在这种情况下,我指的是 KSK 和 ZSK)?

我之前尝试过删除那些使用过的密钥,但它对签名区域没有任何作用。

但是,我只需要知道删除使用过的密钥是否会影响使用它们签名的区域。

先感谢您

4

1 回答 1

0

DNSSEC 签名区域仅具有密钥对的公共部分,因此删除密钥根本不会影响该区域。一般来说,删除密钥是个坏主意,因为您将来可能会需要它们。

删除私有部分将阻止您在进行更改或需要更新 RRSIG 时使用这些密钥重新签署区域(RRSIG 具有有效期并将变为无效)。如果密钥丢失,您将需要重新执行所有操作,并且如果您将 DS RR 上传到父 DNS 区域,您还需要使用新的 KSK 进行更新。

与任何私钥一样,DNSSEC 密钥应受到保护,但应在其整个生命周期内存储。

于 2016-02-24T18:58:02.807 回答