Oracle Cloud Infrastructureドキュメント

キー署名キー(KSK)のロールオーバー

DNSSECキー署名キー(KSK)には、年間ロールオーバーおよびキー・プロモーションが必要です。

KSKロールオーバーは、交換用のDNSSECキー・バージョンが自動的に作成されるときに毎年開始されます。ロールオーバー・プロセスを手動で完了する必要があります。新しいキー・バージョンにコンソールでのプロモーションが必要であることが通知されます。サービスの中断を回避するために、必要なすべてのキー・ロールオーバーを時間どおりに実行するようにアラームを設定することもお薦めします。詳細は、DNSSECを参照してください。
    1. ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「DNS管理」で、「ゾーン」を選択します。
    2. リストでゾーン名を選択して、その詳細ページを開きます。
    3. ゾーンの「リソース」で、「DNSセキュリティ拡張」を選択します。
    4. 「DNSSEC」リストで、ゾーンのKSKのステータスが「Needs Promotion」であることを確認します。
      ノート

      KSKは、デフォルトの1年期間より早くロールオーバーできます。キーの「アクション」メニュー(アクション・メニュー)を選択し、「置換キー・バージョンのステージング」を選択します。新しいKSKが作成されます。
    5. 新しい(KSK)情報を含む新しいDSレコードを親ゾーンに作成します。親ゾーンには、OCIゾーンまたは別のプロバイダ内のゾーンを指定できます。
      1. ゾーンの「リソース」で、「DNSセキュリティ拡張」を選択します。
      2. 「KSKのプロモート」インフォブロックで、データ型を選択します。
        • [構造化]: ダイジェスト フィールドは個別にコピーされます。親ゾーンのDNSプロバイダでDSレコードのフィールドごとに個別の入力が必要な場合、このオプションを選択します。
        • 非構造化: ダイジェスト フィールドは1つの文字列にコピーされます。親ゾーンDNSプロバイダがDSレコードのプレゼンテーション・フォーマット入力をサポートしている場合は、このオプションを選択します。
      3. 「コピー」を選択して、ダイジェスト情報および推奨TTL(存続時間)情報をコピーします。
      4. DSレコード・ダイジェスト情報をゾーンのDSレコードに貼り付けます。ゾーンがOCIゾーンの場合は、「DNSゾーンへのレコードの追加」の手順を参照してください。
      5. 「新規キー署名キーのプロモート」を選択します。
    6. 古い(KSK)情報を含む古いDSレコードを親ゾーンから削除します。
      重要

      サービスの中断を回避するために、新しいDNSKEYレコードが作成された後、古いDSレコードを削除する前に、DNSKEYレコードのTTLが期限切れになるまで待機する必要があります

  • zone stage DNSSEC key versionコマンドを使用して、新しい鍵をステージングします。

    oci dns zone stage-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --predecessor-dnssec-key-version-uuid previous-key-ID ... [OPTIONS]

    ステージングされた鍵をプロモートするには、zone promote DNSSEC key versionコマンドを使用します。

    oci dns zone promote-dnssec-key-version --zone-name-or-id zone_name or zone_OCID --dnssec-key-version-uuid key-ID ... [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンドライン・リファレンスを参照してください。

  • stageDnssecKeyVersion操作を実行して、新しいキーをステージングします。promoteDnssecKeyVersionを実行して、ステージングされたキーをプロモートします。