ZKT Rulla nycklar

ZKTRulla nycklar

Torbjörn Eklöv

zkt-keyman

“Steg 1”

• zkt-keyman -c ./dnssec.conf -1 xn--eklv-7qa.se.

• zkt-signer -c ./dnssec.conf -r -N /etc/bind/named.conf

dssetdig ds +short xn--eklv-7qa.se.11400 7 2 19AD0EE1B0198B3BCC30B1B7FF1EABEE79B2D012D5D06423DABC445F 0663D4B011400 7 1 3D2B838E7231A7DCC592E79B135685256AA1432E

Ny!!

Lägg upp nycke{ln|larna}

Domänhanteraren

Hämta de nya nycklarna

“Steg 2”

• zkt-keyman -c ./dnssec.conf -2 xn--eklv-7qa.se.

• zkt-keyman: ksk_rollover (phase2): you have to wait for the propagation of the new KSK (at least 2971sec or 49m31s)

zkt-keyman -c dnssec.conf -0 xn--eklv-7qa.se.

Kontrollera!

Vänta!

Testa och till slut händer det!

Direkt mot .se TLD NS

Mot er resolver

“Steg 2”

• zkt-keyman -c dnssec.conf -2 xn--eklv-7qa.se.

• save new ksk in parent file

“Steg 3”

• zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se.

• zkt-keyman: ksk_rollover (phase3): you have to wait for DS propagation (at least 3856sec or 1h4m16s)

zkt-keyman -c dnssec.conf -0 xn--eklv-7qa.se.

Nycklar nu

Domänhanteraren

Ta bort nycklarna och hämta igen

“Steg 3”

• zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se.

• remove parentfile • old ksk renamed

Dnscheck

Sammanfattning

1. zkt-keyman -c ./dnssec.conf -1 kommun.se.2. zkt-signer -c ./dnssec.conf -r -N /etc/bind/named.conf 3. Lägg upp de nya nycklarna via er registrar och vänta tills .SE

publicerat de/dem ~2 timmar4. zkt-keyman -c ./dnssec.conf -2 xn--eklv-7qa.se.5. Ta bort de gamla nycklarna och vänta på .SE6. zkt-keyman -c dnssec.conf -3 xn--eklv-7qa.se7. Klart!