1 | Ejercicio de Renovacin de KSK manual |
---|
2 | -------------------------------------- |
---|
3 | OBJETIVO |
---|
4 | |
---|
5 | Vamos a renovar la clave KSK para la zona que acabamos de firmar. |
---|
6 | |
---|
7 | RECUERDE |
---|
8 | |
---|
9 | - Estamos guardando nuestras claves en /etc/namedb/keys |
---|
10 | - Actualmente tenemos dos o ms pares de claves en dicho |
---|
11 | directorio, un KSK y uno o ms ZSKs. Cada par est |
---|
12 | representado por dos ficheros, uno que acaba en ".key" |
---|
13 | (la clave pblica) y otro que acaba ".privado" (la |
---|
14 | clave privada). |
---|
15 | |
---|
16 | - Hay un set the records DS en la raz correspondiente a |
---|
17 | nuestro KSK |
---|
18 | |
---|
19 | RENOVACIîN DEL KSK |
---|
20 | |
---|
21 | El proceso es similar al de la renovacin del ZSK: |
---|
22 | |
---|
23 | 1. Vaya al directorio de claves: |
---|
24 | |
---|
25 | # cd /etc/namedb/keys/ |
---|
26 | # ls K* |
---|
27 | |
---|
28 | 2. Igual que en el paso 2 de la renovacin del ZSK, genere un |
---|
29 | nuevo par KSK. Necesitar utilizar el parmetro "-f KSK" de |
---|
30 | dnssec-keygen: |
---|
31 | |
---|
32 | # dnssec-keygen -f KSK MITLD |
---|
33 | |
---|
34 | (Fjese que no indicamos explcitamente el tamao de la clave - |
---|
35 | dnssec-keygen por defecto utiliza 1024 para las ZSKs y 2048 para |
---|
36 | las KSKs. Cambiar el tamao de las claves no es un problema. |
---|
37 | |
---|
38 | 3. Genere un set DS basado en el nuevo KSK |
---|
39 | |
---|
40 | # cd /etc/namedb/keys/ |
---|
41 | # dnssec-dsfromkey Kmytld.+005+54511.key >dsset-MITLD-54511. |
---|
42 | |
---|
43 | (aqu 54511 es simplemente el ID del nuevo KSK para distinguir |
---|
44 | cul DS es cul). |
---|
45 | |
---|
46 | 4. Suba el dsset de su zona, usando la interfaz web o usando SCP |
---|
47 | como haya indicado el instructor que maneja la raz. |
---|
48 | |
---|
49 | Dgale a su instructor que ha subido un nuevo DS, y que quiere |
---|
50 | que sea agregado a la zona raz. Si utiliz la interfaz web, esto |
---|
51 | ocurrir automticamente. |
---|
52 | |
---|
53 | 5. Revise que el nuevo DS est publicado en la raz, junto con el |
---|
54 | actual (debera esperar 2 x TTL para que todas las cachs se |
---|
55 | hayan actualizado). |
---|
56 | |
---|
57 | # dig DS MITLD |
---|
58 | ... |
---|
59 | ;; ANSWER SECTION: |
---|
60 | MITLD 900 IN DS 12345 5 2 31F1... |
---|
61 | MITLD 900 IN DS 54511 5 2 983F... // <-- el nuevo KSK |
---|
62 | ... |
---|
63 | |
---|
64 | Como ya ambos DS estn presentes en la cach, podemos renovar |
---|
65 | nuestro KSK. |
---|
66 | |
---|
67 | Entonces agregamos el nuevo KSK a la zona (edite el fichero), y |
---|
68 | comentamos (quitamos) el viejo KSK: |
---|
69 | |
---|
70 | Cambiar de esto: |
---|
71 | |
---|
72 | $include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK |
---|
73 | |
---|
74 | a esto: |
---|
75 | |
---|
76 | ;$include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK old |
---|
77 | $include "/etc/namedb/keys/KMITLD.+005+54511.key"; // KSK new |
---|
78 | |
---|
79 | Recuerde incrementar el nmero de serie tambin! |
---|
80 | |
---|
81 | É. Note que simplemente quitamos el viejo KSK - ya no lo |
---|
82 | necesitamos - ambos rcords DS estn presentes, as que |
---|
83 | es suficiente tener un solo KSK en la zona. |
---|
84 | |
---|
85 | 6. Firmemos la zona con el nuevo KSK. |
---|
86 | |
---|
87 | # cd /etc/namedb/keys |
---|
88 | # dnssec-signzone -o MITLD -k KMITLD.+005+54511 ../master/MITLD KMITLD.+005+45000 |
---|
89 | # rndc reload MITLD |
---|
90 | |
---|
91 | 7. Revise con dig - tanto antes como despus de que caduque el TTL |
---|
92 | |
---|
93 | # dig dnskey MITLD |
---|
94 | # dig dnskey MITLD +dnssec |
---|
95 | |
---|
96 | 8. Dgale al instructor que ya puede eliminar el record DS original |
---|
97 | de la zona raz (o qutelo usted mismo a travs de la interfaz web) |
---|
98 | |
---|
99 | 9. Descanse y reflexione sobre lo complicado y tedioso que fue este |
---|
100 | proceso, y qu tanto mejor seran las cosas si todas sus renovaciones |
---|
101 | de llaves fueran automticas. |
---|
102 | |
---|