ADC

Anwendungsfall: So widerrufen Sie einen kompromittierten aktiven Schlüssel

Gehen Sie wie folgt vor, um den kompromittierten aktiven Schlüssel zu widerrufen.

Punkt zu beachten:

  • Überschneidungszeitraum: Um einen reibungslosen Übergang zu ermöglichen, empfehlen wir Ihnen, eine Überlappungszeit festzulegen, in der sowohl alte als auch neue Schlüssel aktiv sind.
  • DNSKEY-TTL-Werte: TTL bestimmt, wie lange DNS-Einträge zwischengespeichert werden. Stellen Sie die entsprechenden TTL-Werte ein, um die Aktivierung neuer Schlüssel zu ermöglichen.
  • Übertragungszeit: Wenn Sie planen, einen kompromittierten Schlüssel zu widerrufen, sollten Sie die Zeit berücksichtigen, die benötigt wird, bis der neue Schlüssel auf allen GSLB-Sites aktualisiert wird, bevor er verwendet werden kann.
  • Verzögerung bei der Aktualisierung der übergeordneten Zone: Achten Sie beim Aktualisieren von DS-Datensätzen in der übergeordneten Zone auf mögliche Verzögerungen. Diese Verzögerungen können sich auf die Sicherheit und Zuverlässigkeit Ihrer Domain auswirken. Registrare haben bestimmte Zeitpläne und Anforderungen für die Aktualisierung von DS-Datensätzen in der übergeordneten Zone.

In diesem Anwendungsfall sind die vorhandenen Schlüssel 1 und Schlüssel 2. Schlüssel 1 ist aktiv und wird verwendet, um den DNSKEY RRSET zu signieren. Schlüssel 2 ist der Standby-Schlüssel, er befindet sich im DNSKEY RRSet, wurde aber nicht zum Signieren des RRSet verwendet. Wenn der aktive Schlüssel (Schlüssel 1) kompromittiert ist, gehen Sie wie folgt vor:

  1. Erstelle einen Schlüssel 3

    Geben Sie in der Befehlszeile Folgendes ein:

    create dns key -zoneName example.com -fileNamePrefix Key3.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
<!--NeedCopy-->
  1. Aktivieren Sie die Taste 2 mit dem Befehl Sign Zone. Geben Sie in der Befehlszeile Folgendes ein:
    sign dns zone example.com -keyName Key2.ksk
    Done

<!--NeedCopy-->
  1. Aktualisieren Sie den DS-Record für den neuen Schlüssel in der übergeordneten Zone.

  2. Überprüfen Sie, ob der neue Schlüssel auf allen GSLB-Sites aktualisiert wurde.

  3. Widerrufen Sie den kompromittierten aktiven Schlüssel (Schlüssel 1)

    Geben Sie in der Befehlszeile Folgendes ein:

    set dns key Key1.ksk -revoke

  4. Überwachen Sie den DNSSEC-Schlüsselstatus

  5. Löschen Sie den kompromittierten Schlüssel (Schlüssel 1)

    Hinweis:

    Wenn Sie den Schlüssel (Schlüssel 1) widerrufen, verbleibt er im System, sofern Sie ihn nicht explizit löschen. Wenn die Auto-Rollover-Option aktiviert ist, rollovern das System den Schlüssel nach dem konfigurierten Ablaufdatum automatisch, sofern Sie ihn nicht manuell löschen. Während des Auto-Rollover-Vorgangs wird ein neuer Schlüssel erstellt, den Sie je nach Bedarf verwenden können.

    Geben Sie in der Befehlszeile Folgendes ein:

    rm dns key Key 1

    Taste 2 ist jetzt die aktive Taste und Taste 3 ist die Standby-Taste

Hinweis:

Das Widerrufsverfahren ist dasselbe für ZSK-Schlüssel, außer dass die übergeordnete Zone nach dem Löschen des Schlüssels aktualisiert wird.

Anwendungsfall: So widerrufen Sie einen kompromittierten aktiven Schlüssel

In diesem Artikel