スマート署名を試してみた(その①)
DNS
Published: 2012-01-27

 現在、DNSSECの自動化に挑戦しています。ずぼらな私に手動運用は無理でした。。。とりあえずcronでの定期的な再署名を実装したので、前回のように署名が有効期限切れになってしまう事はないと思います。

 問題はZSKのロールオーバーです。調べてみたところ、Bind9.7から実装されているスマート署名なる機能があるみたいなので試してみました。

 手動DNSSECだと、ゾーンファイルに署名鍵のパスを記載しなければなりません。これがちょっと前にシェルで自動化しようとした時、障壁になりました。

 スマート署名ではこの点が解消されていました。-Sオプションを付けることで、署名鍵のパスが記載されていないゾーンファイルも署名可能です。

 これを利用しながら、dnssec-keygen + 時刻オプション + cronで定期的に良い感じのZSKを作成すれば、ZSKロールオーバも自動化できるはず。。。頑張ろう。