ADC
Gracias por los comentarios

Este artículo ha sido traducido automáticamente. (Aviso legal)

Caso práctico: cómo revocar una clave activa comprometida

Realice el siguiente procedimiento para revocar la clave activa comprometida.

Punto a tener en cuenta:

  • Período de superposición: para facilitar una transición fluida, le recomendamos que tenga un período de superposición durante el cual estén activas las claves antiguas y nuevas.
  • Valores TTL de DNSKEY: TTL determina la duración en la que se almacenan en caché los registros DNS. Establezca los valores TTL apropiados para permitir la activación de una nueva clave.
  • Tiempo de propagación: cuando planee revocar una clave comprometida, asegúrese de considerar el tiempo necesario para que la nueva clave se actualice en todos los sitios de GSLB antes de que pueda usarse.
  • Retraso en la actualización de la zona principal: Al actualizar los registros DS en la zona principal, tenga en cuenta los posibles retrasos. Estas demoras pueden afectar a la seguridad y confiabilidad de tu dominio. Los registradores tienen plazos y requisitos específicos para actualizar los registros DS en la zona principal.

En este caso de uso, las claves existentes son la clave 1 y la clave 2. La clave 1 está activa y se usa para firmar el DNSKEY RRSET. La clave 2 es la clave de espera, está en el RRSet de DNSKEY, pero no se usó para firmar el RRSet. Cuando la clave activa (clave 1) esté comprometida, realice lo siguiente:

  1. Crear una clave 3

    En la línea de comandos, escriba:

create dns key -zoneName example.com -fileNamePrefix Key3.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
  1. Active la tecla 2 con el comando signzone. En la línea de comandos, escriba:
sign dns zone example.com -keyName Key2.ksk Done
  1. Actualice el registro DS de la nueva clave en la zona principal.

  2. Verifique si la nueva clave está actualizada en todos los sitios de GSLB.

  3. Revocar la clave activa comprometida (clave 1)

    En la línea de comandos, escriba:

    set dns key Key1.ksk -revoke

  4. Supervise el estado de la clave DNSSEC

  5. Eliminar la clave comprometida (clave 1)

    Nota:

    Si revoca la clave (clave 1), permanecerá en el sistema a menos que la elimine explícitamente. Cuando se establece la opción de transferencia automática, el sistema transfiere automáticamente la clave después de la fecha de caducidad configurada si no la borras manualmente. Durante el proceso de transferencia automática, se crea una nueva clave para que la utilices según tus necesidades.

    En la línea de comandos, escriba:

    rm dns key Key 1

    La tecla 2 es ahora la tecla activa y la clave 3 es la tecla de espera

Nota:

El procedimiento de revocación es el mismo para las claves ZSK, excepto para actualizar la zona principal después de eliminar la clave.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.
Caso práctico: cómo revocar una clave activa comprometida