我为DNSSEC设置了我的(权威的)BIND域名服务器,并为我目前唯一的区域安装了一个ZSK。 为了testing是否可以将多个ZSK用于单个区域,我生成了一个新的密钥对,并将其复制到与第一个密钥对相同的文件夹中。 重新加载后,服务器find了新的ZSK密钥对,并用两个ZSK对该区域进行了签名。
现在我注意到我并不需要同时使用两个ZSK,并且认为我可以像添加它一样删除新的ZSK,并删除configuration目录中的相应文件。
不幸的是,这并没有从系统中删除较新的ZSK,并且在重新加载之后,名称服务器缺less这些文件,并且仍然通过DNS上的两个ZSK进行响应。
现在我的问题是,如何删除BIND对第二个ZSK的知识并返回到使用单个ZSK进行签名?
我设法通过运行rndc delzone mydomain.tld来解决这个问题,然后删除所有以我的zone-file的文件名开头的自动创build的文件,然后重新启动(而不是重新加载,我只尝试过)使用service named restart 。
现在我只剩下剩下的ZSK的签名了。
我希望这可以帮助未来的其他人。
这个howto可以帮助你: https : //www.nlnetlabs.nl/publications/dnssec_howto/
有一个关于ZSK翻转的特定段落。 在生产系统上,你不应该用手进行翻转,特别是ZSKs,因为它们必然会“经常”发生。 你应该使用像OpenDNSSEC这样的软件。