为了在9.7+版本的BIND中实现auto-dnssec maintain ,将一个date添加到密钥中作为元数据。 经过大量阅读,我想出了以下内容,希望有人能够确认或纠正:
$TTL 8h KSK lifespan == 1y ZSK lifespan == 30d Key created published active revoke inactive delete KSK1 [KSK0 revoke] [active [revoke [inactive + lifespan] + 2*TTL] + 2*TTL] KSK2 [KSK1 revoke [KSK1 revoke] - 2*TTL]
ZSKs会遵循类似的模式。
最困难的要求是KSK和ZSK的优美滚动。 我知道需要重叠,而同时使用一对KSK或ZSK,但是我需要这些重叠的适当大小的帮助。
将ZSK的数量加倍(在重叠期间)必须使RRSIGlogging的数量增加RRSIG ,因此几乎是查询响应的两倍。 这是相当主观的; 但是这个双重负荷是否变得重要?
据推测,创build和删除KSK DSlogging应该与密钥的“已发布”和“删除”date一致?