ZKT Rulla nycklar Torbjörn Eklöv 2017-04-06 © 2002 © 2002 These slides where produced by Bill Manning (ISI), Ed Lewis (NAI labs) and Olaf M. Kolkman (RIPE NCC).
zkt-keyman
“Steg 1” zkt-keyman -c ./dnssec.conf -1 xn--eklv-7qa.se. zkt-signer -c ./dnssec.conf -r -N /etc/bind/named.conf
dsset dig ds +short xn--eklv-7qa.se. Ny!! 11400 7 2 19AD0EE1B0198B3BCC30B1B7FF1EABEE79B2D012D5D06423DABC445F 0663D4B0 11400 7 1 3D2B838E7231A7DCC592E79B135685256AA1432E Ny!!
Lägg upp nycke{ln|larna}
Domänhanteraren Hämta de nya nycklarna
“Steg 2” zkt-keyman -c ./dnssec.conf -2 xn--eklv-7qa.se. zkt-keyman: ksk_rollover (phase2): you have to wait for the propagation of the new KSK (at least 2971sec or 49m31s)
zkt-keyman -c dnssec.conf -0 xn--eklv-7qa.se.
Kontrollera!
Vänta!
Testa och till slut händer det! Direkt mot .se TLD NS Mot er resolver
“Steg 2” zkt-keyman -c dnssec.conf -2 xn--eklv-7qa.se. save new ksk in parent file
“Steg 3” zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se. zkt-keyman: ksk_rollover (phase3): you have to wait for DS propagation (at least 3856sec or 1h4m16s)
zkt-keyman -c dnssec.conf -0 xn--eklv-7qa.se.
Nycklar nu
Domänhanteraren Ta bort nycklarna och hämta igen
“Steg 3” zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se. remove parentfile old ksk renamed
Dnscheck
Sammanfattning zkt-keyman -c ./dnssec.conf -1 kommun.se. zkt-signer -c ./dnssec.conf -r -N /etc/bind/named.conf Lägg upp de nya nycklarna via er registrar och vänta tills .SE publicerat de/dem ~2 timmar zkt-keyman -c ./dnssec.conf -2 xn--eklv-7qa.se. Ta bort de gamla nycklarna och vänta på .SE zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se Klart!