Documentation sur Oracle Cloud Infrastructure

Repositionnement d'une clé de signature de clé (KSK)

Les clés de signature de clé (KSK) DNSSEC nécessitent un report annuel et une promotion de clés.

Le report de KSK commence chaque année lorsqu'une version de clé DNSSEC de remplacement est créée automatiquement. Vous devez effectuer le processus de report manuellement. Vous êtes avisé que la nouvelle version de clé nécessite une promotion dans la console. Pour éviter toute interruption de service, nous vous recommandons également de configurer des alarmes afin que vous puissiez effectuer tous les reports de clé requis à temps. Voir DNSSEC pour plus d'informations.
    1. Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Gestion du DNS, sélectionnez Zones.
    2. Sélectionnez le nom de la zone dans la liste pour ouvrir la page Détails.
    3. Dans la zone, sous Ressources, sélectionnez Extensions de sécurité DNS.
    4. Dans la liste DNSSEC, vérifiez que la clé de sécurité principale de la zone a le statut Promotion requise.
      Note

      Vous pouvez reporter une clé de remplacement avant la période de 1 an par défaut. Sélectionnez le menu Actions de la clé (trois points), puis sélectionnez Version de la clé de remplacement de l'étape. Un nouveau KSK est créé.
    5. Ajoutez un nouvel enregistrement DS contenant les nouvelles informations (KSK) à la zone parent.
      La zone parent peut être un domaine de niveau supérieur tel que "com", il peut s'agir d'une zone OCI ou d'une zone que vous hébergez avec un autre fournisseur DNS. Si la zone parent est un domaine de premier niveau, le registraire de domaine dispose généralement d'un moyen pour vous de fournir les informations KSK pour DNSSEC. Pour obtenir les informations KSK pour l'enregistrement DS :
      1. Dans la zone, sous Ressources, sélectionnez Extensions de sécurité DNS.
      2. Dans le bloc d'informations Promouvoir KSK, sélectionnez le type de données :
        • Structuré : Les champs les plus numériques sont copiés séparément. Sélectionnez cette option si le fournisseur DNS de la zone parent nécessite une entrée distincte pour chaque champ de l'enregistrement DS.
        • Non structuré : Les champs les plus numériques sont copiés dans une seule chaîne. Sélectionnez cette option si le fournisseur DNS de la zone parent prend en charge l'entrée du format de présentation pour l'enregistrement DS.
      3. Sélectionnez Copier pour copier les informations de condensé et les informations de durée de vie recommandées (durée de vie).
      4. Collez les informations de condensé de l'enregistrement DS dans un enregistrement DS pour la zone. Si la zone est une zone OCI, voir Ajout d'un enregistrement à une zone DNS pour obtenir des instructions.
      5. Sélectionnez Promouvoir une nouvelle clé de signature de clé.
    6. Supprimez de la zone parent l'ancien enregistrement DS contenant les anciennes informations (KSK).
      Important

      Pour éviter les interruptions de service, une fois le nouvel enregistrement DNSKEY créé, vous devez attendre l'expiration de la durée de vie de l'enregistrement DNSKEY avant de supprimer l'ancien enregistrement DS.

  • Utilisez la commande zone stage DNSSEC key version o stage a new key :

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    Utilisez la commande zone promouvoir la version de clé DNSSEC pour promouvoir la clé intermédiaire :

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération stageDnssecKeyVersion pour stocker temporairement une nouvelle clé. Exécutez promoteDnssecKeyVersion pour promouvoir la clé intermédiaire.