Чтобы контролировать срок действия подписи, я переключился на использование dnssec-политика для создания записей DNSSEC для моих зон. Это решило проблему истечения срока действия записей RRSIG, но создало новую собственную проблему.
bind9 теперь постоянно пытается удалить мои ключи KSK и ZKS с истекающим сроком действия. Как настроить привязку, чтобы не пытаться ротировать ключи, когда срок действия ключей никогда не истекает?
Это относительная часть моих журналов:
named[5078]: keymgr: удалить DNSKEY example.com/ED25519/00000 (KSK)
named[5078]: keymgr: DNSKEY example.com/ED25519/50916 (ZSK) создан для политики example-com-policy
named[5078]: зона example.com/IN (подписано): zone_rekey:dns_dnssec_keymgr не удалось: произошла ошибка записи ключа на диск
Еще немного информации о моей настройке:
Ключи KSK и ZSK были сгенерированы запуском:
dnssec-keygen -a ED25519 -f KSK example.com
dnssec-keygen -a ED25519 example.com
Политическая декларация в named.conf.local:
dnssec-policy пример-ком-политики {
DNS-ключ-ttl 300;
ключи {
ksk key-directory алгоритм с неограниченным сроком действия ED25519;
Алгоритм неограниченного срока службы каталога ключей zsk ED25519;
};
максимальная зона-ttl 300;
родитель-DS-ttl 300;
задержка распространения родителя 2 часа;
публикация-безопасность 7d;
пенсионная безопасность 7d;
подписи-обновление 1439ч;
подписи-срок действия 90d;
подпись-валидность-dnskey 90d;
задержка распространения зоны 2 часа;
};
Декларация зоны в named.conf.local:
зона "example.com" {
тип мастер;
файл ".../db.example.com";
разрешить передачу {...};
также-уведомить {...};
ключ-каталог "...";
метод последовательного обновления unixtime;
dnssec-policy пример-ком-политики;
};
и содержание .../db.example.com:
300 долларов США
@ В SOA ns1.example.com. admin.example.com. (
1634019890 ; Серийный
10 м ; Обновить
20 м ; Повторить попытку
9 Вт ; Срок действия
1 ч ); Отрицательный TTL кэша
;
пример.com. В NS ns1.example.com.
пример.com. В NS ns2.example.com.
; ...
Системная информация:
- bind9 9.16.15-дебиан
- Debian 11 (последняя стабильная версия)
- Конфигурация приложения по умолчанию
- named имеет доступ только для чтения к каталогу ключей
2021-10-22 Обновление
Информация о времени для обоих ключей (согласно dnssec-settime -p все) является:
Создано: 10 октября 07:51:48 2021
Опубликовать: вс, 10 октября, 07:51:48 2021
Активировать: вс 10 окт 07:51:48 2021
Отзыв: НЕУСТАНОВЛЕНО
Неактивно: НЕУСТАНОВЛЕНО
Удалить: ОТМЕНИТЬ
Публикация SYNC: НЕУСТАНОВЛЕНО
СИНХРОНИЗАЦИЯ Удалить: НЕУСТАНОВЛЕНО
Публикация DS: НЕУСТАНОВЛЕНО
DS Удалить: НЕУСТАНОВЛЕНО
