Documentação do Oracle Cloud Infrastructure

Fazendo Rollover de uma Chave de Assinatura de Chave (KSK)

As chaves de assinatura de chave DNSSEC (KSKs) exigem rolagem anual e promoção de chave.

O rollover de KSK começa anualmente quando uma versão de chave DNSSEC de substituição é criada automaticamente. Você precisa concluir o processo de reinvestimento manualmente. Você foi notificado de que a nova versão da chave requer promoção no Console. Para evitar uma interrupção do serviço, também recomendamos que você configure alarmes para garantir que você execute todas as rolagens de chave necessárias no prazo. Consulte DNSSEC para obter mais informações.
    1. Abra o menu de navegação e selecione Rede. Em Gerenciamento de DNS, selecione Zonas.
    2. Selecione o nome da zona na lista para abrir sua página Detalhes.
    3. Na zona, em Recursos, selecione Extensões de segurança de DNS.
    4. Na lista DNSSEC, verifique se a KSK da zona tem o status Precisa de Promoção.
      Observação

      Você pode fazer o reinvestimento de um KSK antes do período padrão de 1 ano. Selecione o menu Ações da chave (três pontos) e, em seguida, selecione Estágio da versão da chave de substituição. Um novo KSK é criado.
    5. Adicione um novo registro de DS que contenha as novas informações (KSK) à zona pai.
      A zona mãe pode ser um domínio de nível superior (TLD), como "com", pode ser uma zona do OCI ou uma zona que você hospeda com outro provedor de DNS. Se a zona pai for um domínio de nível superior, o registrador de domínio geralmente terá uma maneira de fornecer as informações de KSK para DNSSEC. Para obter as informações de KSK para o registro DS:
      1. Na zona, em Recursos, selecione Extensões de segurança de DNS.
      2. No bloco de informações Promover KSK, selecione o tipo de dados:
        • Estruturado: Os campos digest são copiados separadamente. Selecione esta opção se o provedor de DNS da zona principal exigir entrada separada para cada campo no registro DS.
        • Não Estruturado: Os campos de digestão são copiados em uma única string. Selecione esta opção se o provedor de DNS da zona pai suportar a entrada do formato de apresentação para o registro DS.
      3. Selecione Copiar para copiar as informações de compilação e as informações de TTL (tempo de vida útil) recomendadas.
      4. Cole as informações de compilação do registro DS em um registro DS da zona. Se a zona for uma zona do OCI, consulte Adding a Record to a DNS Zone para obter instruções.
      5. Selecione Promover nova chave de assinatura de chave.
    6. Remova o registro do DS antigo que contém as informações antigas (KSK) da zona pai.
      Importante

      Para evitar interrupções de serviço, depois que o novo registro DNSKEY for criado, você deverá aguardar até que o TTL do registro DNSKEY expire antes de remover o registro DS antigo.

  • Use o comando zone stage DNSSEC key version para preparar uma nova chave:

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    Use o comando zone promote DNSSEC key version para promover a chave de área temporária:

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    Para obter uma lista completa de flags e opções de variáveis para comandos da CLI, consulte a Referência de Comando da CLI.

  • Execute a operação stageDnssecKeyVersion para preparar uma nova chave. Execute promoteDnssecKeyVersion para promover a chave preparada.