DNSSEC - výměna KSK

[Ondřej]

Při výměně KSK se snažím podepsat zónu dočasně starým i novým KSK, ale program dnssec-signzone vrací chybu:

dnssec-signzone: fatal: failed to find an SOA at the zone apex: NXRRSET

Uměl by někdo poradit o co jde? Při podpisu pouze jedním KSK proběhne vše v pořádku. Když uvedu oba, je to špatně.

Př.:

dnssec-signzone -s +-1800 -e 20120531120000 -o dnssec-test.cz -f dnssec-test.cz.signed -r /dev/urandom -a -k K.+007+07920.key K.+007+58839.key -N keep dnssec-test.cz K.+007+18725.key

[Reklama]

[Ondřej Caletka]

Vypadá to na chybějící přepínač -k před druhým KSK klíčem - utilita signzone se ho pak snaží interpretovat jako zónový soubor, což se ji nedaří.

Testoval jsem to teď a dopadlo to dobře:

Kód: [Vybrat]

dnssec-signzone -o dnssec-test.cz. -r /dev/random -a -k $(readlink ksk-current.key ) -k -k $(readlink ksk-new.key )  -N unixtime  ../master/dnssec-test.cz.zone $(readlink zsk-current.key )
Verifying the zone using the following algorithms: RSASHA512.
Zone signing complete:
Algorithm: RSASHA512: KSKs: 2 active, 0 stand-by, 0 revoked
                      ZSKs: 1 active, 1 stand-by, 0 revoked
../master/dnssec-test.cz.zone.signed


[Ondřej Caletka]

Ve výše uvedeném příkladu je zase omylem jedno -k navíc, bohužel fórum neumožňuje editaci...

[Ondřej]

Díky moc! bylo to ono.