Oracle Cloud Infrastructure - Dokumentation

Überrollen eines Schlüssel-Signaturschlüssels (KSK)

DNSSEC-Schlüssel-Signaturschlüssel (KSKs) erfordern ein jährliches Rollover und eine Schlüsselpromotion.

Der KSK-Rollover beginnt jährlich, wenn automatisch eine Ersatz-DNSSEC-Schlüsselversion erstellt wird. Sie müssen den Rollover-Prozess manuell abschließen. Sie werden benachrichtigt, dass die neue Schlüsselversion in der Konsole hochgestuft werden muss. Um eine Serviceunterbrechung zu vermeiden, empfehlen wir Ihnen auch, Alarme einzurichten, um sicherzustellen, dass Sie alle erforderlichen Schlüssel-Rollovers pünktlich ausführen. Weitere Informationen finden Sie unter DNSSEC.
    1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter DNS-Verwaltung die Option Zonen aus.
    2. Wählen Sie den Zonennamen in der Liste aus, um die Detailseite zu öffnen.
    3. Wählen Sie in der Zone unter Ressourcen die Option DNS-Sicherheitserweiterungen aus.
    4. Stellen Sie in der DNSSEC-Liste sicher, dass der KSK für die Zone den Status Promotion erforderlich aufweist.
      Hinweis

      Sie können einen Rollover für einen KSK früher als die Standardperiode von 1 Jahr durchführen. Wählen Sie das Menü Aktionen (drei Punkte) des Schlüssels aus, und wählen Sie Ersatzschlüsselversion bereitstellen aus. Ein neuer KSK wird erstellt.
    5. Fügen Sie der übergeordneten Zone einen neuen DS-Datensatz mit den neuen (KSK-)Informationen hinzu.
      Die übergeordnete Zone könnte eine Top-Level-Domain (TLD) wie "com" sein, es könnte sich um eine OCI-Zone oder eine Zone handeln, die Sie mit einem anderen DNS-Provider hosten. Wenn es sich bei der übergeordneten Zone um eine Top-Level-Domain handelt, kann der Domainregistrar in der Regel die KSK-Informationen für DNSSEC bereitstellen. So rufen Sie die KSK-Informationen für den DS-Datensatz ab:
      1. Wählen Sie in der Zone unter Ressourcen die Option DNS-Sicherheitserweiterungen aus.
      2. Wählen Sie im Infoblock KSK befördern den Datentyp aus:
        • Strukturiert: Digestfelder werden separat kopiert. Wählen Sie diese Option aus, wenn der DNS-Provider der übergeordneten Zone eine separate Eingabe für jedes Feld im DS-Datensatz erfordert.
        • Unstrukturiert: Digestfelder werden in eine einzelne Zeichenfolge kopiert. Wählen Sie diese Option aus, wenn der DNS-Provider der übergeordneten Zone die Eingabe des Darstellungsformats für den DS-Datensatz unterstützt.
      3. Wählen Sie Kopieren aus, um die Digestinformationen und die empfohlenen TTL-Informationen (Time-to-Live) zu kopieren.
      4. Fügen Sie die DS-Record-Digestinformationen in einen DS-Datensatz für die Zone ein. Wenn die Zone eine OCI-Zone ist, finden Sie weitere Anweisungen unter Hinzufügen eines Datensatzes zu einer DNS-Zone.
      5. Wählen Sie Neuen Key Signing Key hochstufen aus.
    6. Entfernen Sie den alten DS-Datensatz mit den alten (KSK-)Informationen aus der übergeordneten Zone.
      Wichtig

      Um Serviceunterbrechungen zu vermeiden, müssen Sie nach der Erstellung des neuen DNSKEY-Datensatzes warten, bis die TTL des DNSKEY-Datensatzes abläuft, bevor Sie den alten DS-Datensatz entfernen.

  • Geben Sie den Befehl zone stage DNSSEC key version ein, und stellen Sie einen neuen Schlüssel bereit:

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    Mit dem Befehl zone promote DNSSEC key version können Sie den zwischengespeicherten Schlüssel hochstufen:

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    Eine vollständige Liste der Flags und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang stageDnssecKeyVersion aus, um einen neuen Schlüssel bereitzustellen. Führen Sie promoteDnssecKeyVersion aus, um den zwischengespeicherten Schlüssel hochzustufen.