Agenda: dnssec-bind-renovacion-ksk-manual.txt

File dnssec-bind-renovacion-ksk-manual.txt, 3.0 KB (added by admin, 7 years ago)
Line 
1Ejercicio de Renovaci—n de KSK manual
2--------------------------------------
3OBJETIVO
4
5Vamos a renovar la clave KSK para la zona que acabamos de firmar.
6
7RECUERDE
8
9        - Estamos guardando nuestras claves en /etc/namedb/keys
10        - Actualmente tenemos dos o m‡s pares de claves en dicho
11          directorio, un KSK y uno o m‡s ZSKs. Cada par est‡
12          representado por dos ficheros, uno que acaba en ".key"
13          (la clave pœblica) y otro que acaba ".privado" (la
14          clave privada).
15       
16        - Hay un set the records DS en la ra’z correspondiente a
17          nuestro KSK
18
19RENOVACIîN DEL KSK
20
21El proceso es similar al de la renovaci—n del ZSK:
22
231. Vaya al directorio de claves:
24
25    # cd /etc/namedb/keys/
26    # ls K*
27
282. Igual que en el paso 2 de la renovaci—n del ZSK, genere un
29   nuevo par KSK. Necesitar‡ utilizar el par‡metro "-f KSK" de
30   dnssec-keygen:
31
32    # dnssec-keygen -f KSK MITLD
33
34   (F’jese que no indicamos expl’citamente el tama–o de la clave -
35   dnssec-keygen por defecto utiliza 1024 para las ZSKs y 2048 para
36   las KSKs. Cambiar el tama–o de las claves no es un problema.
37
383. Genere un set DS basado en el nuevo KSK
39
40  # cd /etc/namedb/keys/
41  # dnssec-dsfromkey Kmytld.+005+54511.key >dsset-MITLD-54511.
42
43  (aqu’ 54511 es simplemente el ID del nuevo KSK para distinguir
44   cu‡l DS es cu‡l).
45
464. Suba el dsset de su zona, usando la interfaz web o usando SCP
47   como haya indicado el instructor que maneja la ra’z.
48
49   D’gale a su instructor que ha subido un nuevo DS, y que quiere
50   que sea agregado a la zona ra’z. Si utiliz— la interfaz web, esto
51   ocurrir‡ autom‡ticamente.
52
535. Revise que el nuevo DS est‡ publicado en la ra’z, junto con el
54   actual (deber’a esperar 2 x TTL para que todas las cachŽs se
55   hayan actualizado).
56
57   # dig DS MITLD
58   ...
59   ;; ANSWER SECTION:
60   MITLD    900 IN  DS 12345 5 2 31F1...
61   MITLD    900 IN  DS 54511 5 2 983F...  // <-- el nuevo KSK
62   ...
63
64   Como ya ambos DS est‡n presentes en la cachŽ, podemos renovar
65   nuestro KSK.
66
67   Entonces agregamos el nuevo KSK a la zona (edite el fichero), y
68   comentamos (quitamos) el viejo KSK:
69
70   Cambiar de esto:
71
72$include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK
73
74   a esto:
75
76;$include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK old
77$include "/etc/namedb/keys/KMITLD.+005+54511.key"; // KSK new
78
79        Recuerde incrementar el nœmero de serie tambiŽn!
80
81        É. Note que simplemente quitamos el viejo KSK - ya no lo
82        necesitamos - ambos rŽcords DS est‡n presentes, as’ que
83        es suficiente tener un solo KSK en la zona.
84
856. Firmemos la zona con el nuevo KSK.
86
87  # cd /etc/namedb/keys
88  # dnssec-signzone -o MITLD -k KMITLD.+005+54511 ../master/MITLD KMITLD.+005+45000
89  # rndc reload MITLD
90
917. Revise con dig - tanto antes como despuŽs de que caduque el TTL
92
93  # dig dnskey MITLD
94  # dig dnskey MITLD +dnssec
95 
968. D’gale al instructor que ya puede eliminar el record DS original
97   de la zona ra’z (o qu’telo usted mismo a travŽs de la interfaz web)
98
999. Descanse y reflexione sobre lo complicado y tedioso que fue este
100   proceso, y quŽ tanto mejor ser’an las cosas si todas sus renovaciones
101   de llaves fueran autom‡ticas.
102