#opendnssec

Un exemple de remplacement de clé DNSSEC, avec #OpenDNSSEC

Si vous avez déjà un peu regardé #DNSSEC, vous avez dû noter qu’on vous suggère fortement de remplacer (to roll over) les clés cryptographiques de temps en temps. La nécessité de ces remplacements ne fait pas l’unanimité, notamment en raison de sa complexité. Toutefois, avec les outils modernes, le problème est nettement simplifié. Voici l’exemple pas-à-pas du récent remplacement de la KSK (key Signing Key) du domaine bortzmeyer.fr.

►http://www.bortzmeyer.org/key-rollover.html

[Tiens, seenthis.net n’est pas signé avec DNSSEC.]

Utiliser OpenDNSSEC avec un serveur maître NSD

Gérer proprement #DNSSEC n’est pas trivial : un certain nombre d’opérations de gestion des clés et de renouvellement des signatures doivent se faire dans un ordre précis, à certains moments. Si on le fait à la main, une erreur ou un oubli est vite arrivé. D’où l’intérêt d’utiliser une solution logicielle qui automatise tout cela, en l’occurrence #OpenDNSSEC. Les exemples donnés dans la documentation sont pour un serveur DNS maître utilisant BIND. Et si on se sert de #NSD ?

►http://www.bortzmeyer.org/opendnssec-nsd.html