我已按照本教程配置 DNSsec:
如果您不修改您的区域,您是否需要重新做任何事情,例如在 letsencrypt 或其他证书需要更新的情况下?
我让 bind 每天自动重新创建这 2 个区域文件,由于没有 cron 任务,因此我假设 bind 每天都会自动执行此操作。
-rw-r--r-- 1 _bind _bind 22853 Mar 28 09:11 domain.se.signed
-rw-r--r-- 1 _bind _bind 78526 Mar 28 08:59 domain.se.signed.jnl
答案1
是的,签名(RRSIG记录)的有效期是有限的。
这是域的一个示例iis.se:iis.se. 3600 IN RRSIG A 5 2 3600 20210407095501 20210328095501
以 2021 开头的 2 个数字是此特定 RRSET 的“之前无效”和“之后无效”时间戳。
如果您的 DNS 软件没有进行动态签名(我认为 named 没有这样做),那么您必须在RRSIG记录过期之前再次签名并刷新该区域。
但是,Named 可以使用设置来帮您解决这个问题auto-dnssec maintain。