Làm cách nào để gia hạn ngày hết hạn của mọi chữ ký DNSSEC trong bind9?

Tôi có một miền được bảo mật bằng dnssec cần duy trì hiệu lực trong 8 tuần khi không thể truy cập được tất cả các bản gốc.

Theo hiểu biết của tôi, thiết lập sig-validity-interval đến 64 7 trong tệp cấu hình của vùng sẽ tạo SSIGs kéo dài 64 ngày và được bind9 tự động từ bỏ cứ sau 7 ngày.

Khi tôi hoàn thành việc triển khai điều này cho miền, tôi ngạc nhiên khi thấy dnsvis cho tôi thấy rằng không phải tất cả đều được tạo RRSIG64 ngày qua. Các RRSIGs cho cả hai DNSKEY và SOA làm kéo dài thời lượng dự kiến, nhưng tất cả những thứ khác RRSIGhết hạn sau 11 đến 14 ngày.

Ban đầu, tôi nghĩ đây có thể là sự cố bộ nhớ đệm do chạy bind9 trước khi đặt khoảng thời gian hiệu lực của chữ ký. Vì vậy, tôi dừng lại đặt tên, xóa /var/cache/bind và xóa tất cả các tệp DNSSEC *.jbk, *.jnl, *.đã ký, và *.signed.jnl, sau đó khởi động lại liên kết. Điều này đã không giải quyết vấn đề.

Rõ ràng là tôi đang làm sai điều gì đó ở đây nhưng tôi không biết điều gì. Dưới đây là các đoạn cấu hình tôi sử dụng cho tên miền:

1. Khai báo vùng trong có tên.conf.local:

   vùng "example.com" {
        gõ chủ;
        tệp ".../db.example.com";
        cho phép chuyển { ... };
        Cũng thông báo     { ... };
        ký nội tuyến có;
        tự động duy trì dnssec;
        gia tăng phương thức cập nhật nối tiếp;
        thư mục khóa "...";
        sig-validity-interval 64 7;
    };
   

2. nội dung của .../db.example.com:

   $ TTL 300
   @ TRONG SOA ns1.example.com. quản trị viên.example.com. (
            2021101004 ; nối tiếp
            10m ; Làm mới
            20m ; Thử lại
            9tuần ; Hết hiệu lực
            1h ) ; Bộ đệm âm TTL
   ;
   
   ví dụ.com. TRONG NS ns1.example.com.
   ví dụ.com. TRONG NS ns2.example.com.
   
   ; ...
   

Kể từ phiên bản liên kết 9.16.15 (~2021), có vẻ như liên kết chỉ cho phép kiểm soát thời điểm RRSIG hồ sơ hết hạn khi chính sách dnssec tùy chỉnh được sử dụng:

1. Đầu tiên, một chính sách tùy chỉnh được xác định với các tùy chọn chữ ký-làm mới, chữ ký-hiệu lực, và chữ ký-hiệu lực-dnskey thiết lập các giá trị mong muốn.
2. Sau đó, chính sách tùy chỉnh được bật cho một vùng nhất định bằng cách đặt chính sách dnssec tùy chọn trong khối khu vực.

Một chính sách tùy chỉnh có thể giống như thế này:

dnssec-policy ví dụ-com-policy {
  dnskey-ttl 300;
  phím {
      thuật toán không giới hạn tuổi thọ thư mục khóa ksk ED25519;
      thuật toán không giới hạn tuổi thọ của thư mục khóa zsk ED25519;
  };
  max-khu-ttl 300;
  huynh-ds-ttl 300;
  cha mẹ-tuyên truyền-chậm trễ 2h;
  xuất bản-an toàn 7d;
  hưu-an 7d;
  chữ ký-làm mới 1439h;
  chữ ký-hiệu lực 90d;
  chữ ký-hiệu lực-dnskey 90d;
  vùng-lan truyền-trễ 2h;
};

Và khối vùng có thể trông giống như thế này:

vùng "example.com" {
     gõ chủ;
     tệp ".../db.example.com";
     cho phép chuyển { ... };
     Cũng thông báo     { ... };

     thư mục khóa "...";
     gia tăng phương thức cập nhật nối tiếp;
     ví dụ chính sách dnssec-chính sách com;
};

Được cảnh báo, phương pháp này có một vài nhược điểm khi so sánh với phương pháp truyền thống (tức là tự động duy trì dnssec):

1. Tôi đã thấy rằng liên kết trở nên không phản hồi với rndc/hệ thống các lệnh khi một chính sách được sử dụng cho nhiều miền. Việc xác định chính sách riêng cho từng khu vực dường như đã khắc phục sự cố này.

2. Tôi đã tìm thấy ràng buộc đó đòi "nghỉ hưu" các khóa KSK và ZSK của bạn bất kể chúng có hết hạn hay không. Tôi đã không tìm thấy một cách để tránh vấn đề này tại thời điểm viết bài này.

Từ những gì tôi có thể nói, điều này có thể áp dụng như nhau để liên kết trong cả cấu hình chính và phụ.