请帮助我澄清我的疑问,
我对 DNSSEC 密钥翻转有疑问。
如果有任何具体原因在一段时间内辞职每个域?
如果它被辞职并重新生成 KSK 和 ZSK,我是否需要在注册商端更新新的 DS 记录?
在 DNSSEC 辞职过程之后需要做哪些事情?
谢谢。
问问题
78 次
1 回答
0
你的问题太模糊/不清楚/离题了。
但从广义上讲:仅当您更改 KSK 时,您才需要更改父级的 DS。
如果您更改 ZSK,它只需要被当前的 KSK 辞职。您还可以在将相关密钥放入区域之前上传新的 DS 记录。
密钥/协议翻转很棘手,尤其是当你试图让它们发生得太快时。您需要同时考虑 DNS TTL(签名、区域中的 DNSKEY 记录、父区域中的 DS 记录)和签名开始/结束日期。
这是要阅读以准备翻转的规范文档: https ://www.rfc-editor.org/rfc/rfc7583
本文档描述了有关在 DNSSEC 安全区域中滚动密钥的事件时间问题。它提供了密钥翻转的时间表,并明确识别了影响流程的各种参数之间的关系。
从阅读它开始,多次阅读。然后,如果您有任何问题,我认为 ServerFault 可能比这里的主题更多,请先查看其 Tour 和 Help 页面。
于 2018-09-06T14:29:36.933 回答