Documentación de Oracle Cloud Infrastructure

Renovación de una clave de firma de claves (KSK)

Las claves de firma de claves (KSK) de DNSSEC requieren una renovación anual y una promoción de claves.

La renovación de KSK comienza anualmente cuando se crea automáticamente una versión de clave DNSSEC de sustitución. Debe completar el proceso de renovación manualmente. Se le notifica que la nueva versión de clave requiere promoción en la consola. Para evitar una interrupción del servicio, también recomendamos configurar alarmas para garantizar que realice todas las transferencias de claves necesarias a tiempo. Consulte DNSSEC para obtener más información.
    1. Abra el menú de navegación y seleccione Red. En Gestión de DNS, seleccione Zonas.
    2. Seleccione el nombre de zona en la lista para abrir la página Detalles.
    3. En la zona, en Recursos, seleccione Extensiones de seguridad de DNS.
    4. En la lista DNSSEC, verifique que el KSK de la zona tenga el estado Needs Promotion.
      Nota

      Puede renovar un KSK antes que el período de 1 año por defecto. Seleccione el menú Acciones de la clave (tres puntos) y, a continuación, seleccione Versión de clave de sustitución de etapa. Se crea un nuevo KSK.
    5. Agregue un nuevo registro DS que contenga la nueva información (KSK) a la zona principal.
      La zona principal puede ser un dominio de nivel superior (TLD), como "com", una zona de OCI o una zona que aloja con otro proveedor de DNS. Si la zona principal es un dominio de nivel superior, el registrador de dominios generalmente tiene una manera de proporcionar la información KSK para DNSSEC. Para obtener la información de KSK para el registro DS:
      1. En la zona, en Recursos, seleccione Extensiones de seguridad de DNS.
      2. En el bloque de entrada Promocionar KSK, seleccione el tipo de dato:
        • Estructurados: los campos de contenido se copian por separado. Seleccione esta opción si el proveedor de DNS de zona principal requiere una entrada independiente para cada campo del registro de DS.
        • Sin estructurar: los campos de contenido se copian en una sola cadena. Seleccione esta opción si el proveedor de DNS de zona principal admite la entrada de formato de presentación para el registro DS.
      3. Seleccione Copiar para copiar la información del resumen y la información de TTL (tiempo de actividad) recomendada.
      4. Pegue la información de resumen del registro DS en un registro DS para la zona. Si la zona es una zona de OCI, consulte Adición de un registro a una zona DNS para obtener instrucciones.
      5. Seleccione Promote new key-signing key.
    6. Elimine el registro DS antiguo que contiene la información antigua (KSK) de la zona principal.
      Importante

      Para evitar interrupciones del servicio, una vez creado el nuevo registro DNSKEY, debe esperar a que caduque el TTL del registro DNSKEY antes de eliminar el registro DS antiguo.

  • Utilice el comando zone stage DNSSEC key version para almacenar en área temporal una nueva clave:

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    Utilice el comando zone promote DNSSEC key version para promover la clave almacenada en área temporal:

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    Para obtener una lista completa de los indicadores y las opciones de variables para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación stageDnssecKeyVersion para almacenar en área temporal una nueva clave. Ejecute promoteDnssecKeyVersion para promocionar la clave almacenada en área temporal.