Documentazione dell'infrastruttura Oracle Cloud

Inoltro di una chiave di firma chiave (KSK)

Le chiavi di firma delle chiavi DNSSEC (KSK) richiedono il rollover annuale e la promozione delle chiavi.

Il rollover KSK inizia ogni anno quando viene creata automaticamente una versione della chiave DNSSEC sostitutiva. È necessario completare il processo di rinnovo manualmente. Si è ricevuto una notifica che la nuova versione della chiave richiede una promozione nella console. Per evitare un'interruzione del servizio, si consiglia inoltre di impostare gli allarmi per assicurarsi di eseguire tutti i rollover delle chiavi richiesti in tempo. Per ulteriori informazioni, vedere DNSSEC.
    1. Nella pagina elenco Zone pubbliche o Zone private, selezionare l'area da utilizzare. Per assistenza nella ricerca della pagina di elenco, vedere Elenco delle zone DNS.
    2. Selezionare la scheda DNSSEC.
    3. Verificare che lo stato del KSK per la zona sia Needs Promotion.
      Nota

      È possibile eseguire il rollover di un KSK prima del periodo predefinito di 1 anno. Selezionare il menu Azioni del tasto (tre punti), quindi selezionare Versione chiave di sostituzione stadio. Viene creato un nuovo KSK.
    4. Aggiungere un nuovo record DS contenente le nuove informazioni (KSK) alla zona padre.
      La zona padre potrebbe essere un dominio di primo livello (TLD), ad esempio "com", potrebbe essere una zona OCI o una zona che si ospita con un altro provider DNS. Se la zona padre è un dominio di primo livello, il registrar di dominio in genere ha un modo per fornire le informazioni KSK per DNSSEC. Per ottenere le informazioni KSK per il record DS:
      1. Nei dettagli dell'area selezionare la scheda DNSSEC.
      2. Nel blocco informazioni Promuovi KSK, selezionare il tipo di dati indicato di seguito.
        • Strutturati: i campi di digestione vengono copiati separatamente. Selezionare questa opzione se il provider DNS della zona padre richiede un input separato per ogni campo nel record DS.
        • Non strutturato: i campi di testo vengono copiati in una singola stringa. Selezionare questa opzione se il provider DNS della zona padre supporta l'input del formato di presentazione per il record DS.
      3. Selezionare Copia per copiare le informazioni digest e le informazioni TTL (time to live) consigliate.
      4. Incollare le informazioni digest dei record DS in un record DS per la zona. Se la zona è una zona OCI, vedere Aggiunta di un record a una zona DNS per istruzioni.
      5. Selezionare Promuovi nuova chiave di firma della chiave.
    5. Rimuovere il vecchio record DS contenente le informazioni KKSK (precedenti) dalla zona padre.
      Importante

      Per evitare interruzioni del servizio, dopo la creazione del nuovo record DNSKEY è necessario attendere la scadenza del TTL del record DNSKEY prima di rimuovere il record DS precedente.

  • Utilizzare il comando zone stage DNSSEC key version per posizionare una nuova chiave nell'area intermedia:

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    Utilizzare il comando zone promuovere la versione della chiave DNSSEC per promuovere la chiave posizionata nell'area intermedia:

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    Per un elenco completo dei flag e delle opzioni di variabile per i comandi CLI, consultare CLI Command Reference.

  • Eseguire l'operazione stageDnssecKeyVersion per posizionare una nuova chiave nell'area intermedia. Eseguire promoteDnssecKeyVersion per promuovere la chiave posizionata nell'area intermedia.