DNSSEC 的根密钥更新
Issue
根据 Root Zone KSK Operator DNSSEC Practice Statement 的要求,ICANN 正在计划对根区域(Root Zone)的 DNSSEC(Domain Name System Security Extensions)KSK 进行滚动更新(rollover)操作。
KSK(Key Signing Key)或 DNSSEC 根(root)密钥会被改为一个新的密钥,这个新密钥需要以“硬代码”的形式包括在支持 DNSSEC 的 DNS 软件中。对于 RHEL 用户,这意味着,如果使用 bind 和 unbound 软件包来实现通过 DNSSEC 验证域名的域名解析服务,则会受到这个变化的影响。
滚动更新 KSK 意味着,产生一个新的实现加密的公钥和私钥对,并把公钥发送给提供验证域名解析服务的第三方,这包括 ISP、企业网络管理员、其他 DNS 解析程序的操作者、DNS 解析程序的开发人员、系统集成商、以及需要提供或安装根"信任密钥(trust anchor)"的硬件和软件厂商。KSK 被用来对区域签名密钥(Zone Signing Key,简称 ZSK)进行加密签名,而根区域维护者(Root Zone Maintainer)需要使用 ZSK 对互联网 DNS 的根区域进行 DNSSEC 签名。
在 KSK 进行了滚动更新后,只有使用最新的 DNSSEC 根密钥才可以保证 DNSSEC 验证的 DNS 解析器可以正常工作。如果没有使用当前的根区域 DNSSEC 根密钥,使用DNSSEC 验证的 DNS 解析器将无法解析任何 DNS 请求。
ICANN 提供了一个相关的信息介绍视频 Preparing Your Systems for the Root KSK Rollover
Environment
-
Red Hat Enterprise Linux 7
- bind
- unbound
-
Red Hat Enterprise Linux 6
- bind
- unbound
-
Red Hat Enterprise Linux 5
- bind97
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.