ADC

Caso práctico: cómo revocar una clave activa comprometida

Realice el siguiente procedimiento para revocar la clave activa comprometida.

Punto a tener en cuenta:

  • Período de superposición: para facilitar una transición fluida, le recomendamos que tenga un período de superposición durante el cual estén activas las claves antiguas y nuevas.
  • Valores TTL de DNSKEY: TTL determina la duración en la que se almacenan en caché los registros DNS. Establezca los valores TTL apropiados para permitir la activación de una nueva clave.
  • Tiempo de propagación: cuando planee revocar una clave comprometida, asegúrese de considerar el tiempo necesario para que la nueva clave se actualice en todos los sitios de GSLB antes de que pueda usarse.
  • Retraso en la actualización de la zona principal: Al actualizar los registros DS en la zona principal, tenga en cuenta los posibles retrasos. Estas demoras pueden afectar a la seguridad y confiabilidad de tu dominio. Los registradores tienen plazos y requisitos específicos para actualizar los registros DS en la zona principal.

En este caso de uso, las claves existentes son la clave 1 y la clave 2. La clave 1 está activa y se usa para firmar el DNSKEY RRSET. La clave 2 es la clave de espera, está en el RRSet de DNSKEY, pero no se usó para firmar el RRSet. Cuando la clave activa (clave 1) esté comprometida, realice lo siguiente:

  1. Crear una clave 3

    En la línea de comandos, escriba:

    create dns key -zoneName example.com -fileNamePrefix Key3.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
<!--NeedCopy-->
  1. Active la tecla 2 con el comando signzone. En la línea de comandos, escriba:
    sign dns zone example.com -keyName Key2.ksk
    Done

<!--NeedCopy-->
  1. Actualice el registro DS de la nueva clave en la zona principal.

  2. Verifique si la nueva clave está actualizada en todos los sitios de GSLB.

  3. Revocar la clave activa comprometida (clave 1)

    En la línea de comandos, escriba:

    set dns key Key1.ksk -revoke

  4. Supervise el estado de la clave DNSSEC

  5. Eliminar la clave comprometida (clave 1)

    Nota:

    Si revoca la clave (clave 1), permanecerá en el sistema a menos que la elimine explícitamente. Cuando se establece la opción de transferencia automática, el sistema transfiere automáticamente la clave después de la fecha de caducidad configurada si no la borras manualmente. Durante el proceso de transferencia automática, se crea una nueva clave para que la utilices según tus necesidades.

    En la línea de comandos, escriba:

    rm dns key Key 1

    La tecla 2 es ahora la tecla activa y la clave 3 es la tecla de espera

Nota:

El procedimiento de revocación es el mismo para las claves ZSK, excepto para actualizar la zona principal después de eliminar la clave.

Caso práctico: cómo revocar una clave activa comprometida

En este artículo