产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF

用例:如何撤销已泄露的活动密钥

March 20, 2024
投稿者: 
C

执行以下步骤以撤消已泄露的活动密钥。

需要注意的是:

  • 重叠期:为便于平稳过渡,我们建议您设定一个重叠时间,在此期间新旧密钥均处于活动状态。
  • DNSKEY TTL 值:TTL 决定缓存 DNS 记录的持续时间。设置适当的 TTL 值以允许激活新密钥。
  • 传播时间:计划撤销已泄露的密钥时,请务必考虑在所有 GSLB 站点上更新新密钥所需的时间,然后才能使用。
  • 延迟更新父区域:更新父区域中的 DS 记录时,请注意潜在的延迟。这些延迟可能会影响您的域名的安全性和可靠性。注册商对更新父区域的 DS 记录有特定的时间表和要求。

在此用例中,现有密钥是密钥 1 和密钥 2。密钥 1 处于活动状态,用于签署 DNSKEY RRSET。密钥 2 是备用密钥,它在 DNSKEY RRSet 中,但未用于对 RRSet 进行签名。当活动密钥(密钥 1)遭到泄露时,请执行以下操作:

  1. 创建密钥 3

    在命令提示符下,键入:

    create dns key -zoneName example.com -fileNamePrefix Key3.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
<!--NeedCopy-->
  1. 使用签名区域命令激活密钥 2。 在命令提示符下,键入:
    sign dns zone example.com -keyName Key2.ksk
    Done

<!--NeedCopy-->

  1. 更新父区域中新密钥的 DS 记录。

  2. 验证是否在所有 GSLB 站点中更新了新密钥。

  3. 撤销已泄露的主动密钥(密钥 1)

    在命令提示符下,键入:

    set dns key Key1.ksk -revoke

  4. 监视 DNSSEC 密钥状态

  5. 删除被盗的密钥(密钥 1)

    注意:

    如果您撤消密钥(密钥 1),除非您明确将其删除,否则它会保留在系统中。设置自动滚动选项后,如果您不手动删除密钥,则系统会在配置的到期日期之后自动翻转密钥。在自动展期过程中,系统会创建一个新密钥供您根据需要使用。

    在命令提示符下,键入:

    rm dns key Key 1

    密钥 2 现在是活动密钥,密钥 3 是备用密钥

注意:

ZSK 密钥的撤销过程相同,但删除密钥后更新父区域除外。

用例:如何撤销已泄露的活动密钥
March 20, 2024
投稿者: 
C
March 20, 2024
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.