Linux 关于DS记录更新的DNSSEC密钥滚动
请帮我澄清我的疑问 我对DNSSEC钥匙翻滚有疑问 如果有任何具体原因在一段时间内辞去每个域名的职务 如果它辞职并重新生成KSK和ZSK,我是否需要在注册端更新新的DS记录 DNSSEC辞职后需要做什么Linux 关于DS记录更新的DNSSEC密钥滚动,linux,dns,bind,dnssec,Linux,Dns,Bind,Dnssec,请帮我澄清我的疑问 我对DNSSEC钥匙翻滚有疑问 如果有任何具体原因在一段时间内辞去每个域名的职务 如果它辞职并重新生成KSK和ZSK,我是否需要在注册端更新新的DS记录 DNSSEC辞职后需要做什么 谢谢。你的问题太模糊/不清楚/离题了 但从广义上讲:只有在更改KSK时,才需要在父级更改DS 如果您更改了ZSK,则只需由当前KSK辞职即可。您还可以在将相关密钥放入区域之前上载新DS记录 密钥/协议翻转是很棘手的,尤其是如果您试图让它们发生得太快。您需要考虑DNS TTL(签名、区域中的DNS
谢谢。你的问题太模糊/不清楚/离题了 但从广义上讲:只有在更改KSK时,才需要在父级更改DS 如果您更改了ZSK,则只需由当前KSK辞职即可。您还可以在将相关密钥放入区域之前上载新DS记录 密钥/协议翻转是很棘手的,尤其是如果您试图让它们发生得太快。您需要考虑DNS TTL(签名、区域中的DNSKEY记录、父区域中的DS记录)和签名开始/结束日期 这是要阅读的规范性文档,准备进行滚动: 本文档描述了与事件时间相关的问题 在DNSSEC安全区域内滚动钥匙。它呈现 密钥滚动的时间表,并明确标识 影响工艺的各种参数之间的关系 从多次阅读开始。
然后,如果您有问题,我想ServerFault可能会比这里更详细地介绍这个主题,请先查看它的教程和帮助页面。Stack Overflow是一个提供编程和开发问题的网站。这个问题似乎离题了,因为它与编程或开发无关。请参见帮助中心中的。也许或者会是一个更好的提问的地方。