[GTER] DNSSEC e RRSIGs lifetime
Rafael Dantas Justo
rafael at registro.br
Thu Jul 26 11:59:46 -03 2007
On Thu, Jul 26, 2007 at 09:23:02AM -0300, c0re dumped wrote:
> Olá a todos da lista.
>
> Nossa empresa está em processo de instalação do DNSSEC. Tenho
> procurado seguir os tutoriais disponivies no registro.br, além dos
> tutoriais da NLlabs e do RIPE, mas surgiram algumas dúvidas que
> acredito, com a ajuda de vocês, poderei resolver:
>
> 1 - Se eu precisar alterar um endereço IP de um ponteiro tenho que
> alterá-lo no db.zona.br e depois reassinar a zona, para geração do
> .signed com as novas informações correto ?
>
Correto.
> 2 - Os RRSIGs tem um lifetime de 30 dias por padrão. Supondo que tenha
> assinado a zona pela primeira vez no dia 01/08 e no dia 15/08 tenha
> ocorrido uma mudança de um endereço IP para um determinado nome,
> quando for reassinar a zona, o lifetime dos RRSIGs será alterado ?
>
Sim. O "lifetime" dos RRSIGs eh sempre renovado ao se reassinar a zona.
> 3 - Tenho que ficar recalculando os dias que faltam para o lifetime
> expirar e colocá-los como parâmetro no comando dnssec-signzone ? Ou
> basta dar o comando direto e o ele já lê no nas KSK ou ZSK a data de
> ciração ?
>
Eh necessario deixar explicito no comando dnssec-signzone o "lifetime"
(opcao "-e") caso nao deseje utilizar o padrao. O dnssec-signzone nao
recalcula a partir de seu ultimo "lifetime".
> 4 - E se quiser uma período diferente de 30 dias, tenho que ficar
> recalculando o número de dias que faltam para os RRSIGs expirarem ?
>
Sim. Eh possivel utilizar no comando dnssec-signzone a opcao "-e now+N",
onde N eh a quantidade de segundos a partir da data atual que as
assinaturas serao validas.
>
> []'s
>
> --
> No stupid signatures here.
>
> http://www.webcrunchers.com/crunch/
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
--
Atenciosamente,
Rafael Justo
Engenheiro de Software
rafael at registro.br
Registro .BR - Engenharia
More information about the gter
mailing list