请帮我澄清我的疑问,
我对 DNSSEC 密钥滚动更新有疑问。
如果有任何具体原因在一段时间内退出每个域名?
如果它被辞职并重新生成 KSK 和 ZSK 我是否需要在注册商端更新新的 DS 记录?
DNSSEC 辞职流程后需要执行哪些操作?
谢谢。
你的问题太模糊/不清楚/跑题了。
但从广义上讲:只有当您更改 KSK 时,您才需要更改父级的 DS。
如果你改变ZSK,它只需要由当前的KSK辞职。您还可以在将相关密钥放入区域之前上传新的 DS 记录。
密钥/协议翻转很棘手,特别是如果您试图让它们发生得太快。您需要同时考虑 DNS TTL(签名、区域中的 DNSKEY 记录、父区域中的 DS 记录(和签名开始/结束日期。
这是要阅读的规范文档,以准备轮转: https://www.rfc-editor.org/rfc/rfc7583
本文档介绍有关事件时间的问题 在 DNSSEC 安全区域中滚动密钥。 它呈现 密钥滚动更新的时间线,并显式标识 影响过程的各种参数之间的关系。
首先阅读它,多次。 然后,如果您有任何疑问,我认为ServerFault可能比这里更关注主题,请先查看其"教程"和"帮助"页面。