DNSSEC bind
서버가 있습니다. 모든 것이 잘 작동합니다. 한 가지 작은 문제를 제외하고는 자동 ZSK 롤오버가 발생하지 않는 이유는 무엇입니까?
바인딩은 180일마다 새로운 ZSK 키를 생성하고 설치한다고 생각합니다. 내 기대가 잘못되었거나 구성에 문제가 있습니까? 로그에서 힌트를 찾지 못했습니다. 어떻게 디버깅할 수 있나요?
현재 버전 9.18.24를 실행 중입니다.
이 정책은 다음과 같습니다 /etc/named.conf
.
dnssec-policy "my_policy" {
keys {
ksk key-directory lifetime unlimited algorithm ecdsa256;
zsk key-directory lifetime P180D algorithm ecdsa256;
};
nsec3param iterations 0 optout no salt-length 0;
parent-ds-ttl PT1H;
};
그리고 출력 rndc dnssec -status ....
. (왜?“연장 예정 없음”? )
key: 51503 (ECDSAP256SHA256), ZSK
published: yes - since Fri Dec 9 12:11:44 2022
zone signing: yes - since Fri Dec 9 12:11:44 2022
No rollover scheduled
- goal: omnipresent
- dnskey: omnipresent
- zone rrsig: omnipresent