| 1 | Ejercicio de Renovacin de KSK manual |
|---|
| 2 | -------------------------------------- |
|---|
| 3 | OBJETIVO |
|---|
| 4 | |
|---|
| 5 | Vamos a renovar la clave KSK para la zona que acabamos de firmar. |
|---|
| 6 | |
|---|
| 7 | RECUERDE |
|---|
| 8 | |
|---|
| 9 | - Estamos guardando nuestras claves en /etc/namedb/keys |
|---|
| 10 | - Actualmente tenemos dos o ms pares de claves en dicho |
|---|
| 11 | directorio, un KSK y uno o ms ZSKs. Cada par est |
|---|
| 12 | representado por dos ficheros, uno que acaba en ".key" |
|---|
| 13 | (la clave pblica) y otro que acaba ".privado" (la |
|---|
| 14 | clave privada). |
|---|
| 15 | |
|---|
| 16 | - Hay un set the records DS en la raz correspondiente a |
|---|
| 17 | nuestro KSK |
|---|
| 18 | |
|---|
| 19 | RENOVACIîN DEL KSK |
|---|
| 20 | |
|---|
| 21 | El proceso es similar al de la renovacin del ZSK: |
|---|
| 22 | |
|---|
| 23 | 1. Vaya al directorio de claves: |
|---|
| 24 | |
|---|
| 25 | # cd /etc/namedb/keys/ |
|---|
| 26 | # ls K* |
|---|
| 27 | |
|---|
| 28 | 2. Igual que en el paso 2 de la renovacin del ZSK, genere un |
|---|
| 29 | nuevo par KSK. Necesitar utilizar el parmetro "-f KSK" de |
|---|
| 30 | dnssec-keygen: |
|---|
| 31 | |
|---|
| 32 | # dnssec-keygen -f KSK MITLD |
|---|
| 33 | |
|---|
| 34 | (Fjese que no indicamos explcitamente el tamao de la clave - |
|---|
| 35 | dnssec-keygen por defecto utiliza 1024 para las ZSKs y 2048 para |
|---|
| 36 | las KSKs. Cambiar el tamao de las claves no es un problema. |
|---|
| 37 | |
|---|
| 38 | 3. Genere un set DS basado en el nuevo KSK |
|---|
| 39 | |
|---|
| 40 | # cd /etc/namedb/keys/ |
|---|
| 41 | # dnssec-dsfromkey Kmytld.+005+54511.key >dsset-MITLD-54511. |
|---|
| 42 | |
|---|
| 43 | (aqu 54511 es simplemente el ID del nuevo KSK para distinguir |
|---|
| 44 | cul DS es cul). |
|---|
| 45 | |
|---|
| 46 | 4. Suba el dsset de su zona, usando la interfaz web o usando SCP |
|---|
| 47 | como haya indicado el instructor que maneja la raz. |
|---|
| 48 | |
|---|
| 49 | Dgale a su instructor que ha subido un nuevo DS, y que quiere |
|---|
| 50 | que sea agregado a la zona raz. Si utiliz la interfaz web, esto |
|---|
| 51 | ocurrir automticamente. |
|---|
| 52 | |
|---|
| 53 | 5. Revise que el nuevo DS est publicado en la raz, junto con el |
|---|
| 54 | actual (debera esperar 2 x TTL para que todas las cachs se |
|---|
| 55 | hayan actualizado). |
|---|
| 56 | |
|---|
| 57 | # dig DS MITLD |
|---|
| 58 | ... |
|---|
| 59 | ;; ANSWER SECTION: |
|---|
| 60 | MITLD 900 IN DS 12345 5 2 31F1... |
|---|
| 61 | MITLD 900 IN DS 54511 5 2 983F... // <-- el nuevo KSK |
|---|
| 62 | ... |
|---|
| 63 | |
|---|
| 64 | Como ya ambos DS estn presentes en la cach, podemos renovar |
|---|
| 65 | nuestro KSK. |
|---|
| 66 | |
|---|
| 67 | Entonces agregamos el nuevo KSK a la zona (edite el fichero), y |
|---|
| 68 | comentamos (quitamos) el viejo KSK: |
|---|
| 69 | |
|---|
| 70 | Cambiar de esto: |
|---|
| 71 | |
|---|
| 72 | $include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK |
|---|
| 73 | |
|---|
| 74 | a esto: |
|---|
| 75 | |
|---|
| 76 | ;$include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK old |
|---|
| 77 | $include "/etc/namedb/keys/KMITLD.+005+54511.key"; // KSK new |
|---|
| 78 | |
|---|
| 79 | Recuerde incrementar el nmero de serie tambin! |
|---|
| 80 | |
|---|
| 81 | É. Note que simplemente quitamos el viejo KSK - ya no lo |
|---|
| 82 | necesitamos - ambos rcords DS estn presentes, as que |
|---|
| 83 | es suficiente tener un solo KSK en la zona. |
|---|
| 84 | |
|---|
| 85 | 6. Firmemos la zona con el nuevo KSK. |
|---|
| 86 | |
|---|
| 87 | # cd /etc/namedb/keys |
|---|
| 88 | # dnssec-signzone -o MITLD -k KMITLD.+005+54511 ../master/MITLD KMITLD.+005+45000 |
|---|
| 89 | # rndc reload MITLD |
|---|
| 90 | |
|---|
| 91 | 7. Revise con dig - tanto antes como despus de que caduque el TTL |
|---|
| 92 | |
|---|
| 93 | # dig dnskey MITLD |
|---|
| 94 | # dig dnskey MITLD +dnssec |
|---|
| 95 | |
|---|
| 96 | 8. Dgale al instructor que ya puede eliminar el record DS original |
|---|
| 97 | de la zona raz (o qutelo usted mismo a travs de la interfaz web) |
|---|
| 98 | |
|---|
| 99 | 9. Descanse y reflexione sobre lo complicado y tedioso que fue este |
|---|
| 100 | proceso, y qu tanto mejor seran las cosas si todas sus renovaciones |
|---|
| 101 | de llaves fueran automticas. |
|---|
| 102 | |
|---|