DNSSEC - Первая подпись

Соображения синхронизации, обсужденные в том интернет-проекте, для того, когда Вы прокручиваетесь от одного ключа до другого, чтобы позволить времени для подписей от предыдущего ZSK истекать от кэшей. Не необходимо предварительно опубликовать ZSK при подписании зоны впервые.

Что произошло, вот, Вы сказали этому начинать подписывать зону с помощью только одного ключа, KSK. Поскольку не было никаких других опубликованных ключей, это подписало целую зону с одним ключом, который это имело в наличии, KSK. (Это - легальный DNSSEC, но это не типичная конфигурация. Если бы был активный ZSK, то он подписал бы запись DNSKEY с KSK и подписал бы все остальное с один ZSK, но он должен был работать с тем, что он был дан.)

Когда-то позже ZSK был опубликован (но не активировался), таким образом, он добавлялся к записи DNSKEY, но не использовался для подписания. Позже все еще ZSK действительно становился активным, но записи в зоне уже все подписываются в той точке, так названный считает, что нет никакой потребности в нем, чтобы сделать, любой работает правильно теперь. Когда подписи KSK рядом со своим временем истечения срока, они должны автоматически быть сброшены из зоны и заменены подписями от теперь активного ZSK. Так как у Вас есть набор sig-validity-interval к одному дню, это должно начать происходить когда-то завтра.

Так или иначе, в Ваших целях, Вы просто хотели сделать два ключа, которые были опубликованы и активны сразу. Вы не должны думать об интервалах перед публикацией, пока Вы не прокручиваете ключи.

Evan (основной автор BIND 9.7)