BIND 9

CHAPTER 4. 高级DNS特征 4.9. DNSSEC,动态区,和自动化签名
complete flag (octet 5)
只有被标志为“complete”的记录才能通过动态更新被删除。删除其它私有类型记录的企图将被默默地
忽略掉。
如果第一个字节为零(这是一个保留的算法号,从来不会出现在一个DNSKEY记录中),这个记录指示
正在进行转换为NSEC3链的过程。其余的记录包含一个NSEC3PARAM记录。标志字段基于标志位表明
要执行哪种操作。
0x01 OPTOUT
0x80 CREATE
0x40 REMOVE
0x20 NONSEC
4.9.5 通过UPDATE轮转DNSKEY
通过动态更新执行密钥轮换是可行的。你需要为新密钥添加K*文件,这样named就能够找到它们。然后
你可以通过动态更新添加新的DNSKEY资源记录集。然后将引起named使用新的密钥对区进行签名。当
签名完成,将更新私有类型记录,使最后一个字节为非零。
如果这是一个KSK,你需要将新KSK通知上级域和所有的信任锚仓库。
然后,你应该在删除旧DNSKEY之前等待区中最大TTL的时间。如果更新一个KSK,你还需要等待上级
区中的DS资源记录集更新和其TTL失效。这就确保当你删除旧DNSKEY时,所有的客户端能够验证至少
一个签名。
可以通过UPDATE删除旧的DNSKEY。需要小心指定正确的密钥。在更新完成后,named将会清理由旧
密钥生成的所有签名。
4.9.6 通过UPDATE轮转NSEC3PARAM
通过动态更新增加新的NSEC3PARAM记录。当生成了新的NSEC3链之后,NSEC3PARAM标志字段被
置为零。在这时,你可以删除旧的NSEC3PARAM记录。旧的链将会在更新请求完成之后被删除。
4.9.7 从NSEC转换到NSEC3
要 做 这 个 , 你 只 需 要 添 加 一 条NSEC3PARAM记 录 。 在 转 换 完 成 后 ,NSEC链 将 被 移
除,NSEC3PARAM记录有一个0标志域。NSEC3链将在NSEC链被去掉之前生成。
4.9.8 从NSEC3转换到NSEC
要做这件事,使用nsupdate删除所有带有一个零标志字段的NSEC3PARAM记录。在NSEC3链被删除之
前先生成NSEC链。
4.9.9 从安全转换为不安全
要使用动态DNS将一个签名的区转换为未签名的区,需要使用nsupdate删除区顶点的所有DNSKEY记
录。所有签名,NSEC或NSEC3链,以及相关的NSEC3PARAM记录都会被自动地删除掉。这个发生在
更新请求完成之后。
这要求named.conf中的dnssec-secure-to-insecure选项被设置为yes。
此外,如果使用了auto-dnssec maintain区命令,应该将其去掉或者将其值改为allow(或者重签名)。
32