DNSSEC - prenos zony

Dotaz: DNSSEC - prenos zony

2.7.2012 19:30 maros
DNSSEC - prenos zony

Přečteno: 245×

Odpovědět | Admin

Akym sposobom je mozne replikovat podpisanu DNS zonu na iny DNS server (napriklad ISP)?

Replikuje sa nepodpisana verzia a nasledne sa podpise na druhom DNS serveri jeho klucami?

Odpovědi

Normalni zpusob je podepsat zonu na masteru a na slave ji prenest uz podepsanou pomoci AXFR/IXFR.

Druha moznost je prenest (treba pres SSH) nepodepsanou zonu a na druhe strane ji podepsat - to ale vyzaduje mit minimalne KSK na dvou mistech, o spolehlivosti toho "rucniho" prenosu ani nemluve.

Kazdopadne je treba pri zmene klicu pocitat se zpozdenim, s jakym na to reaguji cache a slave servery a casovat tu rotaci tak, aby nedoslo k tomu, ze nejaky server ma treba nakesovany stary DNSKEY, ale uz jsou dostupne jen nove RRSIGy. Viz prislusne RFC, neni to uplne jednoduche.

2.7.2012 21:57 Edheldil
Rozbalit Rozbalit vše Re: DNSSEC - prenos zony

s/KSK/ZSK/

8.7.2012 10:07 maros
Rozbalit Rozbalit vše Re: DNSSEC - prenos zony

Ak som to dobre pochopil, tak KSK a ZSK sa generuju bez casovej platnosti resp. obmedzenia.

Naopak, zona sa podpisuje alebo je platna len urcity cas (je mozne zadat start_time a end_time).

KSK a ZSK sa odporuca obcas pregenerovat.

Zónový soubor s DNSSEC podpisy je z hlediska NS stejný, jako jakýkoliv nepodepsaný soubor. Podpis do něj akorát vloží další platné záznamy, nic víc. Replikace tedy bude fungovat stejně, jako u nepodepsaného souboru.

Heron