Documentation sur Oracle Cloud Infrastructure

Repositionnement d'une clé de signature de clé (KSK)

Les clés de signature de clé (KSK) DNSSEC nécessitent un report annuel et une promotion de clés.

Le report de KSK commence chaque année lorsqu'une version de clé DNSSEC de remplacement est créée automatiquement. Vous devez effectuer le processus de report manuellement. Vous êtes avisé que la nouvelle version de clé nécessite une promotion dans la console. Pour éviter toute interruption de service, nous vous recommandons également de configurer des alarmes afin que vous puissiez effectuer tous les reports de clé requis à temps. Voir DNSSEC pour plus d'informations.
    1. Dans la page de liste Zones publiques ou Zones privées, sélectionnez la zone avec laquelle vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des zones DNS.
    2. Sélectionnez l'onglet DNSSEC.
    3. Vérifiez que la clé de sécurité de la zone a le statut Promotion requise.
      Note

      Vous pouvez reporter une clé de remplacement avant la période de 1 an par défaut. Sélectionnez le menu Actions de la clé (trois points), puis sélectionnez Version de la clé de remplacement de l'étape. Un nouveau KSK est créé.
    4. Ajoutez un nouvel enregistrement DS contenant les nouvelles informations (KSK) à la zone parent.
      La zone parent peut être un domaine de niveau supérieur tel que "com", il peut s'agir d'une zone OCI ou d'une zone que vous hébergez avec un autre fournisseur DNS. Si la zone parent est un domaine de premier niveau, le registraire de domaine dispose généralement d'un moyen pour vous de fournir les informations KSK pour DNSSEC. Pour obtenir les informations KSK pour l'enregistrement DS :
      1. Dans les détails de la zone, sélectionnez l'onglet DNSSEC.
      2. Dans le bloc d'informations Promouvoir KSK, sélectionnez le type de données :
        • Structuré : Les champs les plus numériques sont copiés séparément. Sélectionnez cette option si le fournisseur DNS de la zone parent nécessite une entrée distincte pour chaque champ de l'enregistrement DS.
        • Non structuré : Les champs les plus numériques sont copiés dans une seule chaîne. Sélectionnez cette option si le fournisseur DNS de la zone parent prend en charge l'entrée du format de présentation pour l'enregistrement DS.
      3. Sélectionnez Copier pour copier les informations de condensé et les informations de durée de vie recommandées (durée de vie).
      4. Collez les informations de condensé de l'enregistrement DS dans un enregistrement DS pour la zone. Si la zone est une zone OCI, voir Ajout d'un enregistrement à une zone DNS pour obtenir des instructions.
      5. Sélectionnez Promouvoir une nouvelle clé de signature de clé.
    5. Supprimez de la zone parent l'ancien enregistrement DS contenant les anciennes informations (KSK).
      Important

      Pour éviter les interruptions de service, une fois le nouvel enregistrement DNSKEY créé, vous devez attendre l'expiration de la durée de vie de l'enregistrement DNSKEY avant de supprimer l'ancien enregistrement DS.

  • Utilisez la commande oci dns zone stage-dnssec-key-version et ses paramètres requis pour stocker temporairement une nouvelle clé :

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    Utilisez la commande oci dns zone promouvoir-dnssec-key-version et ses paramètres requis pour promouvoir la clé intermédiaire :

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération stageDnssecKeyVersion pour stocker temporairement une nouvelle clé. Exécutez promoteDnssecKeyVersion pour promouvoir la clé intermédiaire.