Documentazione dell'infrastruttura Oracle Cloud

Inoltro di una chiave di firma chiave (KSK)

Le chiavi di firma delle chiavi DNSSEC (KSK) richiedono il rollover annuale e la promozione delle chiavi.

Il rollover KSK inizia ogni anno quando viene creata automaticamente una versione di chiave DNSSEC sostitutiva. È necessario completare il processo di rinnovo manualmente. Viene inviata una notifica quando la nuova versione della chiave richiede una promozione nella console. Per evitare interruzioni del servizio, ti consigliamo inoltre di impostare allarmi per assicurarti di eseguire tutti i rollover di chiavi richiesti in tempo. Per ulteriori informazioni, vedere DNSSEC.
    1. Aprire il menu di navigazione e selezionare Networking. In Gestione DNS, selezionare Zone.
    2. Selezionare il nome della zona nell'elenco per aprire la relativa pagina Dettagli.
    3. Nella zona, in Resources selezionare DNS Security Extensions.
    4. Nell'elenco DNSSEC verificare che lo stato del KSK per la zona sia Promozione necessaria.
      Nota

      È possibile eseguire il rollover di un KSK prima del periodo predefinito di 1 anno. Selezionare il menu Azioni del tasto (tre punti), quindi selezionare Versione chiave di sostituzione stadio. Viene creato un nuovo KSK.
    5. Aggiungere un nuovo record DS contenente le nuove informazioni (KSK) alla zona padre.
      La zona padre potrebbe essere un dominio di primo livello (TLD), ad esempio "com", potrebbe essere una zona OCI o una zona che si ospita con un altro provider DNS. Se la zona padre è un dominio di primo livello, il registrar di dominio in genere ha un modo per fornire le informazioni KSK per DNSSEC. Per ottenere le informazioni KSK per il record DS:
      1. Nella zona, in Resources selezionare DNS Security Extensions.
      2. Nel blocco informazioni Promuovi KSK, selezionare il tipo di dati indicato di seguito.
        • Strutturati: i campi di digestione vengono copiati separatamente. Selezionare questa opzione se il provider DNS della zona padre richiede un input separato per ogni campo nel record DS.
        • Non strutturato: i campi di testo vengono copiati in una singola stringa. Selezionare questa opzione se il provider DNS della zona padre supporta l'input del formato di presentazione per il record DS.
      3. Selezionare Copia per copiare le informazioni digest e le informazioni TTL (time to live) consigliate.
      4. Incollare le informazioni digest dei record DS in un record DS per la zona. Se la zona è una zona OCI, vedere Aggiunta di un record a una zona DNS per istruzioni.
      5. Selezionare Promuovi nuova chiave di firma della chiave.
    6. Rimuovere il vecchio record DS contenente le informazioni KKSK (precedenti) dalla zona padre.
      Importante

      Per evitare interruzioni del servizio, dopo la creazione del nuovo record DNSKEY è necessario attendere la scadenza del TTL del record DNSKEY prima di rimuovere il record DS precedente.

  • Utilizzare il comando zone stage DNSSEC key version per posizionare una nuova chiave nell'area intermedia:

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    Utilizzare il comando zone promuovere la versione della chiave DNSSEC per promuovere la chiave posizionata nell'area intermedia:

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione stageDnssecKeyVersion per posizionare una nuova chiave nell'area intermedia. Eseguire promoteDnssecKeyVersion per promuovere la chiave posizionata nell'area intermedia.