请帮助我澄清我的疑问,
我对DNSSEC密钥过渡有疑问。
是否有特定原因在一段时间内辞职每个域?
如果辞职并重新生成了KSK和ZSK,我是否需要在注册服务商端更新新的DS记录?
DNSSEC退出过程之后需要做什么?
谢谢。
答案 0 :(得分:0)
您的问题太模糊/不清楚/含糊不清。
但从广义上讲:仅当您更改KSK时,才需要在父级上更改DS。
如果更改ZSK,则只需由当前KSK辞职。您还可以在将相关密钥放入区域之前,先上传新的DS记录。
密钥/协议翻转非常棘手,特别是如果您试图使其过快发生。您需要同时考虑DNS TTL(签名,区域中的DNSKEY记录,父区域中的DS记录)和签名开始/结束日期。
这是为过渡准备的规范文档: https://tools.ietf.org/html/rfc7583
本文档介绍了事件发生时间的相关问题 在DNSSEC保护的区域中滚动密钥。它呈现 密钥过渡的时间表,并明确标识 影响过程的各个参数之间的关系。
从多次阅读开始。 然后,如果您有问题,我认为ServerFault可能比这里涉及更多主题,请首先查看其“浏览”和“帮助”页面。