Я пытаюсь понять, как Bind управляет подписями ключей зоны DNSSEC без внешнего вмешательства. В частности, какой процесс (с именем?) Определяет, что срок действия подписи зоны скоро истечет, и каковы методы обнаружения и отказа.
Само имя регулярно опрашивает все ключи зоны, а затем запускает процесс обновления? Требуются ли дополнительные настройки, помимо перечисленных ниже, для работы автоматического обслуживания? Должно ли обновление запускаться с помощью rndc или перезагрузки с именем?
. . .
options {
. . .
dnssec-enable yes;
key-directory "/usr/local/etc/namedb/master/";
dnssec-validation auto;
. . .
}
. . .
zone example.com {
type master;
file "/usr/local/etc/namedb/master/example.com.hosts";
key-directory "/usr/local/etc/namedb/master/";
auto-dnssec maintain;
inline-signing yes;
};
Согласно https://www.sidn.nl/a/dnssec/dnssec-signatures-in-bind- named текущая процедура выглядит следующим образом:
Если вы используете опцию 'auto-dnssec maintenance', ключевой каталог будет проверяется каждый час на предмет изменений пар ключей. В зависимости от метаданные в файлах ключей, каждой паре ключей присваивается статус «неопубликованные», «опубликованные», «активные», «просроченные» или «отозванные». Таким образом, опубликованные записи DNSKEY автоматически обновляются. В Кроме того, цифровые подписи (в записях RRSIG) могут быть сброшены где необходимо. Таким образом, эффект от этой опции такой же, как от эффект включения команды 'rndc sign' в задание cron, в сочетание с опцией 'auto-dnssec allow'.