Ejercicio de Renovaci—n de KSK manual
--------------------------------------
OBJETIVO

Vamos a renovar la clave KSK para la zona que acabamos de firmar.

RECUERDE

	- Estamos guardando nuestras claves en /etc/namedb/keys
	- Actualmente tenemos dos o m‡s pares de claves en dicho
	  directorio, un KSK y uno o m‡s ZSKs. Cada par est‡
	  representado por dos ficheros, uno que acaba en ".key"
	  (la clave pœblica) y otro que acaba ".privado" (la 
	  clave privada).
	
	- Hay un set the records DS en la ra’z correspondiente a
	  nuestro KSK 

RENOVACIîN DEL KSK

El proceso es similar al de la renovaci—n del ZSK:

1. Vaya al directorio de claves:

    # cd /etc/namedb/keys/
    # ls K*

2. Igual que en el paso 2 de la renovaci—n del ZSK, genere un 
   nuevo par KSK. Necesitar‡ utilizar el par‡metro "-f KSK" de
   dnssec-keygen:

    # dnssec-keygen -f KSK MITLD

   (F’jese que no indicamos expl’citamente el tama–o de la clave - 
   dnssec-keygen por defecto utiliza 1024 para las ZSKs y 2048 para
   las KSKs. Cambiar el tama–o de las claves no es un problema.

3. Genere un set DS basado en el nuevo KSK

  # cd /etc/namedb/keys/
  # dnssec-dsfromkey Kmytld.+005+54511.key >dsset-MITLD-54511.

  (aqu’ 54511 es simplemente el ID del nuevo KSK para distinguir
   cu‡l DS es cu‡l).

4. Suba el dsset de su zona, usando la interfaz web o usando SCP
   como haya indicado el instructor que maneja la ra’z.

   D’gale a su instructor que ha subido un nuevo DS, y que quiere
   que sea agregado a la zona ra’z. Si utiliz— la interfaz web, esto
   ocurrir‡ autom‡ticamente.

5. Revise que el nuevo DS est‡ publicado en la ra’z, junto con el 
   actual (deber’a esperar 2 x TTL para que todas las cachŽs se 
   hayan actualizado).

   # dig DS MITLD
   ...
   ;; ANSWER SECTION:
   MITLD    900 IN  DS 12345 5 2 31F1...
   MITLD    900 IN  DS 54511 5 2 983F...  // <-- el nuevo KSK
   ...

   Como ya ambos DS est‡n presentes en la cachŽ, podemos renovar
   nuestro KSK.

   Entonces agregamos el nuevo KSK a la zona (edite el fichero), y 
   comentamos (quitamos) el viejo KSK:

   Cambiar de esto:

$include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK

   a esto:

;$include "/etc/namedb/keys/KMITLD.+005+46516.key"; // KSK old
$include "/etc/namedb/keys/KMITLD.+005+54511.key"; // KSK new

	Recuerde incrementar el nœmero de serie tambiŽn!

	É. Note que simplemente quitamos el viejo KSK - ya no lo
 	necesitamos - ambos rŽcords DS est‡n presentes, as’ que
	es suficiente tener un solo KSK en la zona.

6. Firmemos la zona con el nuevo KSK.

  # cd /etc/namedb/keys
  # dnssec-signzone -o MITLD -k KMITLD.+005+54511 ../master/MITLD KMITLD.+005+45000
  # rndc reload MITLD

7. Revise con dig - tanto antes como despuŽs de que caduque el TTL 

  # dig dnskey MITLD
  # dig dnskey MITLD +dnssec
 
8. D’gale al instructor que ya puede eliminar el record DS original
   de la zona ra’z (o qu’telo usted mismo a travŽs de la interfaz web)

9. Descanse y reflexione sobre lo complicado y tedioso que fue este
   proceso, y quŽ tanto mejor ser’an las cosas si todas sus renovaciones
   de llaves fueran autom‡ticas.