DNSSEC - výměna KSK

Ondřej

DNSSEC - výměna KSK
« kdy: 25. 07. 2011, 14:19:35 »
Při výměně KSK se snažím podepsat zónu dočasně starým i novým KSK, ale program dnssec-signzone vrací chybu:

dnssec-signzone: fatal: failed to find an SOA at the zone apex: NXRRSET

Uměl by někdo poradit o co jde? Při podpisu pouze jedním KSK proběhne vše v pořádku. Když uvedu oba, je to špatně.

Př.:

dnssec-signzone -s +-1800 -e 20120531120000 -o dnssec-test.cz -f dnssec-test.cz.signed -r /dev/urandom -a -k K.+007+07920.key K.+007+58839.key -N keep dnssec-test.cz K.+007+18725.key


Re: DNSSEC - výměna KSK
« Odpověď #1 kdy: 26. 07. 2011, 10:18:29 »
Vypadá to na chybějící přepínač -k před druhým KSK klíčem - utilita signzone se ho pak snaží interpretovat jako zónový soubor, což se ji nedaří.

Testoval jsem to teď a dopadlo to dobře:
Kód: [Vybrat]
dnssec-signzone -o dnssec-test.cz. -r /dev/random -a -k $(readlink ksk-current.key ) -k -k $(readlink ksk-new.key )  -N unixtime  ../master/dnssec-test.cz.zone $(readlink zsk-current.key )
Verifying the zone using the following algorithms: RSASHA512.
Zone signing complete:
Algorithm: RSASHA512: KSKs: 2 active, 0 stand-by, 0 revoked
                      ZSKs: 1 active, 1 stand-by, 0 revoked
../master/dnssec-test.cz.zone.signed

Re: DNSSEC - výměna KSK
« Odpověď #2 kdy: 26. 07. 2011, 10:19:46 »
Ve výše uvedeném příkladu je zase omylem jedno -k navíc, bohužel fórum neumožňuje editaci...

Ondřej

Re: DNSSEC - výměna KSK
« Odpověď #3 kdy: 26. 07. 2011, 12:52:48 »
Díky moc! bylo to ono.