DNSSECbind
サーバーがあります。すべてがうまくいきます。 1つの小さな問題を除いて、自動ZSKロールオーバーが発生しないのはなぜですか?
バインディングは、180日ごとに新しいZSKキーを生成してインストールすると思います。私の期待が間違っているか、設定に問題がありますか?ログにヒントが見つかりませんでした。どのようにデバッグできますか?
現在バージョン9.18.24を実行しています。
このポリシーは次のとおりです/etc/named.conf
。
dnssec-policy "my_policy" {
keys {
ksk key-directory lifetime unlimited algorithm ecdsa256;
zsk key-directory lifetime P180D algorithm ecdsa256;
};
nsec3param iterations 0 optout no salt-length 0;
parent-ds-ttl PT1H;
};
そして出力rndc dnssec -status ....
。 (なぜ?「延長予定なし」? )
key: 51503 (ECDSAP256SHA256), ZSK
published: yes - since Fri Dec 9 12:11:44 2022
zone signing: yes - since Fri Dec 9 12:11:44 2022
No rollover scheduled
- goal: omnipresent
- dnskey: omnipresent
- zone rrsig: omnipresent