我为 DNSSEC 设置了我的(权威)BIND 名称服务器,并为我当前唯一的区域安装了一个 ZSK。为了测试是否可以为单个区域使用多个 ZSK,我生成了一个新的密钥对并将其复制到与第一个密钥对相同的文件夹中。重新加载后,服务器找到了新的 ZSK 密钥对,并使用两个 ZSK 对区域进行了签名。
现在我注意到我不需要同时使用两个 ZSK,并且认为我可以按照添加新 ZSK 并删除配置目录中相应文件的方式删除它。
不幸的是,这并没有从系统中删除较新的 ZSK,并且重新加载后,名称服务器缺少文件,并且仍然通过 DNS 使用两个 ZSK 进行响应。
现在我的问题是,我如何才能删除 BIND 对第二个 ZSK 的了解并返回使用单个 ZSK 进行签名?
答案1
本指南或许能帮到你:https://www.nlnetlabs.nl/publications/dnssec_howto/
有一个专门的段落是关于 ZSK 轮转的。在生产系统中,您不应该手动进行轮转,特别是 ZSK,因为它们必然会“经常”发生。您应该使用 OpenDNSSEC 之类的软件。
答案2
我设法通过运行来解决问题rndc delzone mydomain.example,然后删除所有以我的区域文件的文件名开头的自动创建的文件,然后使用重新启动(而不是重新加载,我已经尝试过这样做)服务器service named restart。
现在我只有剩余的 ZSK 的签名。
我希望这在未来能够对别人有所帮助。