Я настроил свой (полномочный) сервер имен BIND для DNSSEC и установил один ZSK для моей единственной в настоящее время зоны. Чтобы проверить, могу ли я использовать несколько ZSK для одной зоны, После перезагрузки сервер нашел новую пару ключей ZSK и подписал зону обоими ZSK.
Теперь я заметил, что мне не нужны два ZSK одновременно, и подумал, что могу удалить новый ZSK так же, как я его добавил, и удалил соответствующие файлы в каталоге конфигурации.
К сожалению, при этом не был удален новый ZSK из системы, и после перезагрузки на сервере имен отсутствуют файлы, и он все еще отвечает обоими ZSK через DNS.
Теперь мой вопрос: как удалить информацию о втором ZSK, которую BIND знает, и вернуться к подписанию с помощью одного ZSK?
Этот способ может вам помочь: https://www.nlnetlabs.nl/publications/dnssec_howto/
Есть специальный параграф о переворачивании ЗСК. На производственных системах не следует делать переворачивание вручную, а именно на ЗСК, так как оно должно происходить "часто". Вы должны использовать программное обеспечение типа OpenDNSSEC.
.Мне удалось решить проблему, запустив rndc delzone mydomain.tld
, затем удалить все автоматически созданные файлы, которые начинаются с имени файла моего zone-файла, а затем перезапустить (а не перезагружать, я уже пробовал только это) сервер, используя сервис с именем restart
.
Теперь у меня есть только подписи с оставшимся ZSK.
Надеюсь, это может помочь кому-нибудь другому в будущем.