我现在正在研究WMbind,并正在制作一个名为"signedzone"的新模块。而且,我在wmbind数据库中又添加了一个表,这是一个密钥表。那么,正如上面所问的问题,在我们使用密钥对区域进行签名后,我们是否必须存储密钥(在这种情况下,我指的是KSK和ZSK)?
我以前尝试过删除那些使用过的密钥,但它对已签名的区域没有任何作用。
然而,我只需要知道删除使用过的密钥是否会影响使用它们签名的区域。
提前感谢
DNSSEC签名的区域只有密钥对的公共部分,因此删除密钥根本不会影响该区域。一般来说,删除密钥是个坏主意,因为您将来可能需要它们。
当您进行更改或需要更新RRSIG时,删除私有部分将阻止您使用这些密钥对区域进行重新签名(RRSIG有有效期,将失效)。如果密钥不见了,你需要重新做所有事情,如果你上传了一个DS RR到父DNS区域,你也需要用新的KSK更新它。
与任何私钥一样,DNSSEC密钥应该受到保护,但应该在其整个生命周期中存储。