我现在正在开发WMbind,我正在创建一个名为“#zone; signedzone' 。并且,我向wmbind数据库添加了一个表,这是一个密钥表。所以,正如上面提到的问题,在我们使用它们签署区域之后,我们是否必须存储密钥(在这种情况下,我指的是KSK和ZSK)?
我之前尝试删除那些使用过的密钥,但它对签名区域没有做任何事情。
但是,我只需要知道删除使用过的密钥是否会影响使用它们签名的区域。
提前谢谢
答案 0 :(得分:0)
DNSSEC签名区域只有密钥对的公共部分,因此删除密钥根本不会影响该区域。一般来说,删除密钥是个坏主意,因为将来可能会需要它们。
删除私有部分将阻止您在进行更改或需要更新RRSIG时(RRSIG具有有效期并且将变为无效)使用这些密钥重新签名区域。如果密钥消失了,您将需要重新执行所有操作,如果您将DS RR上传到父DNS区域,则还需要使用新的KSK更新密钥。
与任何私钥一样,DNSSEC密钥应受到保护,但应在整个生命周期内存储。