Documentation Oracle Cloud Infrastructure

Annulation d'une clé de signature de clé (KSK)

Les clés de signature de clé DNSSEC (KSK) nécessitent un report annuel et une promotion de clé.

Le remplacement de KSK commence chaque année lorsqu'une version de clé DNSSEC de remplacement est automatiquement créée. Vous devez terminer le traitement de report manuellement. Vous êtes notifié que la nouvelle version de clé nécessite une promotion dans la console. Pour éviter toute interruption de service, nous vous recommandons également de configurer des alarmes afin de vous assurer que vous effectuez tous les reports de clé requis à temps. Pour plus d'informations, reportez-vous à DNSSEC.
    1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Gestion DNS, sélectionnez Zones.
    2. Sélectionnez le nom de la zone dans la liste pour ouvrir sa page Détails.
    3. Dans la zone, sous Ressources, sélectionnez Extensions de sécurité DNS.
    4. Dans la liste DNSSEC, vérifiez que le KSK de la zone a le statut Promotion requise.
      Remarque

      Vous pouvez reporter un KSK plus tôt que la période de 1 an par défaut. Sélectionnez le menu Actions de la clé (trois points), puis sélectionnez Version de clé de remplacement de phase. Un nouveau KSK est créé.
    5. Ajoutez un nouvel enregistrement DS contenant les nouvelles informations (KSK) à la zone parent.
      La zone parent peut être un domaine de premier niveau (TLD) tel que "com", une zone OCI ou une zone que vous hébergez auprès d'un autre fournisseur DNS. Si la zone parent est un domaine de niveau supérieur, le bureau d'enregistrement de domaine vous permet généralement de fournir les informations KSK pour DNSSEC. Pour obtenir les informations KSK de l'enregistrement DS :
      1. Dans la zone, sous Ressources, sélectionnez Extensions de sécurité DNS.
      2. Dans le bloc d'informations Promouvoir KSK, sélectionnez le type de données :
        • Structured : les champs Digest sont copiés séparément. Sélectionnez cette option si le fournisseur DNS de la zone parent requiert une entrée distincte pour chaque champ dans l'enregistrement DS.
        • Non structuré : les champs Digest sont copiés dans une seule chaîne. Sélectionnez cette option si le fournisseur DNS de zone parent prend en charge l'entrée de format de présentation pour l'enregistrement DS.
      3. Sélectionnez Copier pour copier les informations de synthèse et les informations de durée de vie recommandées.
      4. Collez les informations de synthèse de l'enregistrement DS dans un enregistrement DS pour la zone. Si la zone est une zone OCI, reportez-vous à Ajout d'un enregistrement à une zone DNS pour obtenir des instructions.
      5. Sélectionnez Promouvoir la nouvelle clé de signature de clé.
    6. Supprimez de la zone parent l'ancien enregistrement DS contenant les anciennes informations (KSK).
      Important

      Pour éviter toute interruption de service, une fois le nouvel enregistrement DNSKEY créé, vous devez attendre l'expiration de la durée de vie de l'enregistrement DNSKEY avant de supprimer l'ancien enregistrement DS.

  • Utilisez la commande zone stage DNSSEC key version pour préparer une nouvelle clé :

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    Utilisez la commande zonepromotion DNSSEC key version pour promouvoir la clé intermédiaire :

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.

  • Exécutez l'opération stageDnssecKeyVersion pour préparer une nouvelle clé. Exécutez promoteDnssecKeyVersion pour promouvoir la clé intermédiaire.