ZKTRulla nycklar
Torbjörn Eklöv
zkt-keyman
“Steg 1”
• zkt-keyman -c ./dnssec.conf -1 xn--eklv-7qa.se.
• zkt-signer -c ./dnssec.conf -r -N /etc/bind/named.conf
dssetdig ds +short xn--eklv-7qa.se.11400 7 2 19AD0EE1B0198B3BCC30B1B7FF1EABEE79B2D012D5D06423DABC445F 0663D4B011400 7 1 3D2B838E7231A7DCC592E79B135685256AA1432E
Ny!!
Lägg upp nycke{ln|larna}
Domänhanteraren
Hämta de nya nycklarna
“Steg 2”
• zkt-keyman -c ./dnssec.conf -2 xn--eklv-7qa.se.
• zkt-keyman: ksk_rollover (phase2): you have to wait for the propagation of the new KSK (at least 2971sec or 49m31s)
zkt-keyman -c dnssec.conf -0 xn--eklv-7qa.se.
Kontrollera!
Vänta!
Testa och till slut händer det!
Direkt mot .se TLD NS
Mot er resolver
“Steg 2”
• zkt-keyman -c dnssec.conf -2 xn--eklv-7qa.se.
• save new ksk in parent file
“Steg 3”
• zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se.
• zkt-keyman: ksk_rollover (phase3): you have to wait for DS propagation (at least 3856sec or 1h4m16s)
zkt-keyman -c dnssec.conf -0 xn--eklv-7qa.se.
Nycklar nu
Domänhanteraren
Ta bort nycklarna och hämta igen
“Steg 3”
• zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se.
• remove parentfile • old ksk renamed
Dnscheck
Sammanfattning
1. zkt-keyman -c ./dnssec.conf -1 kommun.se.2. zkt-signer -c ./dnssec.conf -r -N /etc/bind/named.conf 3. Lägg upp de nya nycklarna via er registrar och vänta tills .SE
publicerat de/dem ~2 timmar4. zkt-keyman -c ./dnssec.conf -2 xn--eklv-7qa.se.5. Ta bort de gamla nycklarna och vänta på .SE6. zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se7. Klart!
Top Related