ADC

Cas d’utilisation : comment révoquer une clé active compromise

Exécutez la procédure suivante pour révoquer la clé active compromise.

Point à noter :

  • Période de chevauchement : pour faciliter la transition, nous vous recommandons de prévoir une période de chevauchement pendant laquelle les anciennes et les nouvelles clés sont actives.
  • Valeurs TTL DNSKEY : TTL détermine la durée pendant laquelle les enregistrements DNS sont mis en cache. Définissez les valeurs TTL appropriées pour permettre l’activation de nouvelles clés.
  • Temps de propagation : lorsque vous envisagez de révoquer une clé compromise, assurez-vous de prendre en compte le temps nécessaire pour que la nouvelle clé soit mise à jour sur tous les sites GSLB avant de pouvoir être utilisée.
  • Retard dans la mise à jour de la zone parent : lors de la mise à jour des enregistrements DS dans la zone parent, soyez conscient des retards potentiels. Ces délais peuvent avoir un impact sur la sécurité et la fiabilité de votre domaine. Les bureaux d’enregistrement ont des délais et des exigences spécifiques pour la mise à jour des enregistrements DS dans la zone parent.

Dans ce cas d’utilisation, les clés existantes sont la touche 1 et la touche 2. La touche 1 est active et est utilisée pour signer le DNSKEY RRSET. La touche 2 est la clé de secours, elle se trouve dans le DNSKEY RRSet mais n’a pas été utilisée pour signer le RRSet. Lorsque la touche active (touche 1) est compromise, effectuez les opérations suivantes :

  1. Création d’une clé 3

    À l’invite de commandes, tapez :

    create dns key -zoneName example.com -fileNamePrefix Key3.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
<!--NeedCopy-->
  1. Activez la touche 2 à l’aide de la commande sign zone. À l’invite de commandes, tapez :
    sign dns zone example.com -keyName Key2.ksk
    Done

<!--NeedCopy-->
  1. Mettez à jour l’enregistrement DS pour la nouvelle clé dans la zone parent.

  2. Vérifiez si la nouvelle clé est mise à jour sur tous les sites GSLB.

  3. Révoquer la clé active compromise (clé 1)

    À l’invite de commandes, tapez :

    set dns key Key1.ksk -revoke

  4. Surveiller l’état de la clé DNSSEC

  5. Supprimer la clé compromise (touche 1)

    Remarque :

    Si vous révoquez la clé (clé 1), elle reste dans le système à moins que vous ne la supprimiez explicitement. Lorsque l’option de survol automatique est définie, le système surplace automatiquement la clé après la date d’expiration configurée si vous ne la supprimez pas manuellement. Au cours du processus de reconduction automatique, une nouvelle clé est créée que vous pouvez utiliser en fonction de vos besoins.

    À l’invite de commandes, tapez :

    rm dns key Key 1

    La touche 2 est désormais la touche active et la touche 3 est la touche de veille

Remarque :

La procédure de révocation est la même pour les clés ZSK, sauf pour la mise à jour de la zone parent après la suppression de la clé.

Cas d’utilisation : comment révoquer une clé active compromise

Dans cet article