DNSSEC -第一签名

Question

我正在用Bind 9.7.2-P2测试DNSSEC。我有一个问题，关于在已经存在的区域上创建的第一个签名。我在使用动态DNS。

我创建前两个键:一个KSK和一个ZSK。根据https://datatracker.ietf.org/doc/draft-ietf-dnsop-dnssec-key-timing/，第一个ZSK需要以等于Ipub的间隔发布，然后才能激活。

我创建ZSK的发布日期早于它的激活日期。我重新启动服务，我可以看到密钥是在发布日期发布的，但在激活日期到来后，它没有活动。

这是区域dnssec.es在named.conf文件中的配置：

zone "dnssec.es" {
  auto-dnssec maintain;
  update-policy local;
  sig-validity-interval 1;
  key-directory "dnssec/keys_dnssec";
  type master;
  file "dnssec/db.dnssec.es";
};

有线索吗？

问候

Answer 1

在互联网草案中讨论的时间考虑是当你从一个键滚动到另一个键时，让来自前一个ZSK的签名从缓存过期的时间。当您第一次签署区域时，没有必要预先发布ZSK。

这里发生的是，你告诉它开始签署区域只用一个密钥，KSK。因为没有其他已发布的密钥，所以它用它拥有的一个密钥KSK对整个区域进行签名。(这是合法的DNSSEC，但它不是典型的配置。如果有一个活跃的ZSK，它会签署DNSKEY记录与KSK，并签署所有其他与ZSK单独，但它必须工作，它所给予的。)

稍后，ZSK被发布(但没有激活)，因此它被添加到DNSKEY记录中，但没有用于签名。后来，ZSK确实变得活跃起来，但是该区域的记录已经在那个时候签署了，所以被命名为没有必要现在做任何工作。当KSK签名接近到期时间时，它们将自动从区域中被冲出，并被来自现在活动的ZSK的签名所取代。由于您的sig-有效性间隔设置为某一天，这应该会在明天的某个时候开始发生。

不管怎么说，为了您的目的，您只是想要创建两个被立即发布和激活的键。在滚动键之前，不需要考虑发布前的间隔。

Evan ( BIND 9.7的主要作者)