DNS

OpenDNSSECで KSKの鍵長を変えてみる。

先日の JPNIC主催DNSSECセミナーで、「KSKの鍵長は4096bitが標準だ」と聞いた。

え、以前JPRSのセミナで聞いたときは 2048bit推奨だったんで、2048bitのまま運用してたよー。

情報収集をさぼってたせいですかねぇ (>_<)

というわけで、今回 KSK鍵を4096bitに変更した。
ただし、運用に支障なく、というのを大前提で。

まず、KSKの鍵長を変えるということでポリシーファイルをいじる必要がある。
ウチの場合は現在3種類のポリシーを持っている。

  1. default 通常運用を想定した、KSK 1年ローテ
  2. monthly テスト用で通常運用を想定した KSK 1か月ローテ
  3. weekly テスト用で、できるだけ最短に更新確認をしたい、KSK 1週間ローテ

で、ポリシーファイルは kasp.xml
変更箇所は省略。

とはいえ、まぁ、こんな場所。

         <!-- Parameters for KSK only -->
         <KSK>
            <Algorithm length="2048">8</Algorithm>
      ……
         </KSK>

全ポリシーのこの部分を4096に変更して再起動して、最短のKSKが更新されるのを待つ。
その日が過ぎて……

ods-ksmutil key list -v をしたところ、新しいKSKも2048bit。へっ?
・設定(kasp.xml)は変わってる
 → エディタで目視。
・DB (kasp.db) の parameters_policies テーブル内のKSK鍵長は2048のまま
 → dbダンプして確認
 dsec01# sqlite3 kasp.db ".dump parameters_policies"
第二パラメータ policy_id が 19のやつがそう。
dsec01# sqlite3 kasp.db ".dump parameters_policies" | grep ',19,'
INSERT INTO "parameters_policies" VALUES(18,19,1,2048);
INSERT INTO "parameters_policies" VALUES(56,19,2,2048);
INSERT INTO "parameters_policies" VALUES(94,19,3,2048);
dsec01#

DB上では変わってないので、DBを直接いじることも考えたけど、まずはコマンド確認。
ods-ksmutil update kasp ってのがあった。
これを実行して、再度DBダンプしたところ、ちゃんと4096に変わってた。

試しにダミードメイン名で zone add したら、KSKが4096になってた。めでたし。

んで、ただいま、最短のKSKが更新されるの待ち中。

補足

本件も過去の個人ブログからの発掘です。
OpenDNSSEC 1.2.x での運用です。

返信を残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA