Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 11:11 | Zajímavý software

Vasudeva Kamath představil utilitu debvulns, alternativu k nativní utilitě debsecan, pro výpis zranitelností v Debianu. Navíc má především možnost výstupu ve strukturovaných formátech JSON a CSV. V plánu je exportér pro Prometheus.

Ladislav Hagara | Komentářů: 0

Oficiální český státní eshop s elektronickými dálničními známkami nově na edalnice.gov.cz

včera 21:44 | IT novinky

Oficiální český státní eshop s elektronickými dálničními známkami nově najdete na edalnice.gov.cz. Doména gov.cz jasně potvrzuje, že jste na oficiálním státním webu [𝕏].

Ladislav Hagara | Komentářů: 14

fish shell 4.8.0

včera 14:22 | Nová verze

Byla vydána nová verze 4.8.0 interaktivního shellu fish (friendly interactive shell, Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 2

Superpočítač LineShine nejvýkonnějším superpočítačem na světě (TOP500 06/2026)

včera 12:00 | Nová verze

Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. Nejvýkonnějším superpočítačem se nově stal čínský LineShine v Národním superpočítačovém centru v Šen-čenu (NSCS) s výkonem 2,198 exaFLOPS. Z prvního místa sesadil americký superpočítač El Capitan s výkonem 1,809 exaFLOPS. Nejvýkonnější český počítač C24 klesl na 215 místo. Karolina, GPU partition klesla na 249. místo a Karolina, CPU partition na 475. místo.

… více »

Ladislav Hagara | Komentářů: 6

Zemřel průkopník videoherní hudby Bobby Prince

23.6. 21:00 | IT novinky

Zemřel průkopník videoherní hudby Bobby Prince (Wikipedie). Složil hudbu pro hry Wolfenstein 3D, Doom, Doom II, Duke Nukem II a Duke Nukem 3D.

Ladislav Hagara | Komentářů: 10

Počítačová hra Operace Flashpoint slaví 25 let

23.6. 15:55 | IT novinky

Počítačová hra Operace Flashpoint (Arma: Cold War Assault) od společnosti Bohemia Interactive slaví 25 let. Při této příležitosti bylo publikováno bezplatné hratelné Arma: Cold War Assault Remastered Demo a na GitHubu byly zveřejněny zdrojové kódy.

Ladislav Hagara | Komentářů: 0

HP EliteBoard G1a, počítač v klávesnici

23.6. 12:22 | IT novinky

Na trh v České republice přichází HP EliteBoard G1a. Jde o plnohodnotný AI počítač integrovaný přímo do těla klávesnice, tedy zařízení, které na první pohled vypadá jako minimalistická klávesnice, ale ve skutečnosti nahrazuje klasickou počítačovou jednotku.

Ladislav Hagara | Komentářů: 19

První preview verze xfwl4

23.6. 10:55 | Nová verze

V lednu bylo oznámeno, že desktopové prostředí Xfce bude mít vlastní kompozitor pro Wayland s názvem xfwl4. O víkendu byla vydána první preview verze.

Ladislav Hagara | Komentářů: 0

Android 17

22.6. 23:44 | Nová verze

Minulý týden byl oficiálně vydán Android 17. Detaily na blogu a stránkách věnovaných vývojářům.

Ladislav Hagara | Komentářů: 7

Zařízení Steam Machine jde do prodeje

22.6. 20:00 | IT novinky

Dnes jde do prodeje zařízení Steam Machine. Steam Machine 512 GB za 1 039 EUR a Steam Machine 2 TB za 1 359 EUR. Do čtvrtka 25. června do 19:00 se lze zapsat na seznamy. Ty budou jednorázově náhodně slosovány, čímž bude určeno pořadí rezervací a čekacích listin.

Ladislav Hagara | Komentářů: 20

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / OpenDNSSEC sdílený KSK

Štítky: bez, DNS, domény, Internet, překlad, sdílení, XML

Dotaz: OpenDNSSEC sdílený KSK

1.6.2016 18:55 fish | skóre: 22
OpenDNSSEC sdílený KSK

Přečteno: 324×

Odpovědět | Admin

Zdravím,

potřeboval bych poradit / ověřit, jestli někde nedělám chybu. Před rokem jsem na DNS serveru (bind) nasadil OpenDNSSEC, víceméně podle tohohle článku. Abych nemusel pro každou zónu u registrátora nastavovat KSK, zapnul jsem volbu <ShareKeys/> v kasp.xml (to je předpokládám jediný způsob). Po vygenerování prvních tří domén (A, B, C) všechno vypadalo OK, Keytag KSK byl u všech stejný, automatická rotace ZSK taky probíhala bez problémů a obecně všechno fungovalo jak má. V průběhu roku jsem přidal další dvě zóny (D, E) k podepisování, opět bez problémů.

Nicméně o víkendu nastal čas rotace KSK, když jsem zjistil, že jsem buď udělal něco špatně, nebo sdílení klíčů funguje jinak než jsem čekal. Moje představa byla taková, že ten sdílený klič je globálně jeden, s jednou platností a při jeho rotaci jen umístím novou verzi k registrátorovi, jednou zavolám ds-seen a na rok bude zase klid.

Ve skutečnosti se ale ukázalo, že rotace byla požadovaná jen pro ty tři nejstarší domény a pro každou zvlášť jsem musel zavolat ds-seen. Původní KSK jsem v keysetu u registrátora nechal, jen jsem přidal nový klíč, takže překlad všech domén pořád funguje, ale nevím, jestli je to správný postup. Například netuším, co se stane, až dojde na rotaci u těch dalších dvou domén. Použije se ten právě vytvořený KSK nebo se vygeneruje další?

Takže můj dotaz je: udělal jsem někde chybu, nebo je tohle normální průběh? Díky.

Přikládám výpis existujících klíčů (KSK 29793 byl původně jako KSK i u domén A, B a C):

# ods-ksmutil key list --verbose
Keys:
Zone:                         Keytype:      State:    Date of next transition:  Keytag:
domenaA                       ZSK           retire    2016-06-02 19:38:55       58674
domenaA                       ZSK           active    2016-06-25 06:38:55       25407
domenaA                       KSK           active    2017-05-29 20:55:13       29133
domenaB                       ZSK           retire    2016-06-02 19:38:55       58674
domenaB                       ZSK           active    2016-06-25 06:38:55       25407
domenaB                       KSK           active    2017-05-29 20:55:01       29133
domenaC                       ZSK           retire    2016-06-02 19:38:56       58674
domenaC                       ZSK           active    2016-06-25 06:38:56       25407
domenaC                       KSK           active    2017-05-29 20:52:36       29133
domenaD                       KSK           active    2016-08-14 08:51:22       29793
domenaD                       ZSK           retire    2016-06-02 19:38:56       58674
domenaD                       ZSK           active    2016-06-25 06:38:56       25407
domenaE                       KSK           active    2016-11-13 09:41:35       29793
domenaE                       ZSK           active    2016-06-10 13:41:45       58674

Řešení dotazu:

Komentář #1 (fish, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

Řešení 1× (fish (tazatel))

15.8.2016 10:50 fish | skóre: 22
Rozbalit Rozbalit vše Re: OpenDNSSEC sdílený KSK

Pro úplnost přidám výsledek, jak to nakonec dopadlo. Včera expiroval KSK u domény domenaD, tj. ten který už dříve vyexpiroval u prvních tří domén. U domenaD se objevil nový KSK, ale naštěstí ne nějaký nově vygenerovaný, ale 29133, stejně jako u A, B, C. OpenDNSSEC si tudíž hlídá nějakou posloupnost klíčů, nezávisle na tom, v jakých termínech jsou aktivní pro různé domény.

K znefunkčnění domény tedy nakonec nedošlo, jen je trochu škoda, že musím pro každou doménu zvlášť potvrzovat ds-seen, když je ten klíč sdílený a už jsem jednou potvrdil, že je obsažený v nadřazené zóně.

Asi se poohlédnu po jiné alternativě DNS s integrovaným generováním klíčů (novější Bind nebo Knot).

Založit nové vlákno • Nahoru

Tiskni Sdílej: