DNSSEC BIND9 2ª Parte
key-rolling.
Hasta ahora hemos creado las claves para "firmar" nuestra zona directa, generando la "ksk", pudiéndose esta utilizar como una "true anchor" en servidores caché. El único inconveniente que podemos encontrar es el tiempo de vida que posee la clave, unos 30 días. Es posible a la hora de generar las claves con "zonesigner", utilizar el parámetro "-endtime", o si se deja por defecto, cambiar este valor inicial en el fichero "dnnsec-tools.conf.
Aquí se puede ver el tiempo de vida.
Para realizar el cambio de claves, o "key Rolling", utilizaremos el siguiente "daemon" que automatizará esto por nosotros: rollerd.
Primero nos dirigimos a /etc/bind/
cd /etc/bind/
Como Super Usuario (sudo su, no nos sirve ejecutarlo como su)
rollinit -zonefile db.miempresa.com.signed -keyrec miempresa.com.krf -admin root@miempresa.com miempresa.com >> all.rollrec
rollinit nos guardará en "all.rollrec" ( >> all.rollrec), los datos relativos a la zona (db.miempresa.com.signed), los datos del admin (miempresa.com.krf).
Como Super Usuario (sudo su, no nos sirve ejecutarlo como su)
rollinit -zonefile db.miempresa.com.signed -keyrec miempresa.com.krf -admin root@miempresa.com miempresa.com >> all.rollrec
rollinit nos guardará en "all.rollrec" ( >> all.rollrec), los datos relativos a la zona (db.miempresa.com.signed), los datos del admin (miempresa.com.krf).
Con rollerd corremos el demonio en background.
rollerd -rrfile all.rollrec -directory /etc/bind
Y listo.
No hay comentarios:
Publicar un comentario