Používáte DNSSEC na Subregu?

18. 12. 2019 15:57:21

Ahoj,

používáte někdo DNSSEC na Subregu? Chtěl jsem DNSSEC implementovat s přechodem na nové nameservery, ale problém je, že mám pouze CSK klíč místo KSK a ZSK. Neřešil jste někdo podobný problém? Lze nasadit i přes CSK?

18. 12. 2019 15:57:21

https://webtrh.cz/diskuse/pouzivate-dnssec-na-subregu/#reply1429202

TomasX

(4 hodnocení)

18. 12. 2019 16:14:02

Se subregem zkušenost v tomhle nemám. KSK a ZSK jsou dva oddělené klíče, které se váží k algoritmu RSA, zatímco CSK je pro ECDSA. Pokud subreg používá pouze RSA, s CSK klíčem tam jít nemůžete. Chápu správně problém?

18. 12. 2019 16:14:02

https://webtrh.cz/diskuse/pouzivate-dnssec-na-subregu/#reply1429201

TomasX

(4 hodnocení)

18. 12. 2019 16:20:08

krátkým googlením vidím, že subreg by měl umět vložit vlastní klíče, takže bys měl mít možnost tam propašovat vlastní csk. Jejich support jsi zkoušel?

18. 12. 2019 16:20:08

https://webtrh.cz/diskuse/pouzivate-dnssec-na-subregu/#reply1429200

Jan Horák (Gransy)

(22 hodnocení)

18. 12. 2019 16:25:44

Potrebujes vytvorit keyset u CZNICu bez KSK/ZSK ale jen s CSK, jo?

---------- Příspěvek doplněn 18.12.2019 v 16:41 ----------

Je mi lito, ale v RFC nevidim ze by v DNSKEY bylo neco jinyho nez KSK/ZSK (256/257) a dle diskuze na PDNS (byt 2017) se CSK zadava obojim ... takze nez dotaz na nasi podporu bych to videl na dotaz na CZNIC jestli CSK nejak specialne podporuji, ci jak takovy KEYSET zalozit

18. 12. 2019 16:25:44

https://webtrh.cz/diskuse/pouzivate-dnssec-na-subregu/#reply1429199

Pavel Janků

(93 hodnocení)

18. 12. 2019 18:07:10

No mám PowerDNS a právě mi leze ven jen CSK, to už mám v naší administraci i propojené, že se mi rovnou generuje CSK klíč k zóně. No tak to vypadá, že budu muset upravit. Díky za pomoc.

18. 12. 2019 18:07:10

https://webtrh.cz/diskuse/pouzivate-dnssec-na-subregu/#reply1429198

Jan Horák (Gransy)

(22 hodnocení)

18. 12. 2019 18:15:05

mimochodem CZ-NIC podporuje CDNSKEY a SK-NIC announcoval ted podporu CDS.

Takze nez resit klice pro zakazniky, a propagaci skrze keysety manualne bych sel touhle cestou - nechal bych vypropagovat CDNSKEY/CDS zaznamy do zony a nechal registr at si domeny podepise automatem sam :)

---------- Příspěvek doplněn 18.12.2019 v 18:16 ----------

a v praxi krom CZ-NICu a Euridu nikdo keysety nepouziva - jen primo DS zaznamy per domena, a eurid podporuje oboje, tak bych s tim ze cz-nic ma podporu CDNSKEY klice z hlediska jakykoliv spravy smerem k registrum vubec neresil.

18. 12. 2019 18:15:05

https://webtrh.cz/diskuse/pouzivate-dnssec-na-subregu/#reply1429197

Pro odpověď se přihlašte.

Přihlásit