DNSSEC Key Rollover bei iWay


Von Roman (romanf auf trash.net)


Key Rollover bei iWay Step by Step Anleitung

  1. Ankündigung von Techstaff, dass Key-Rollover gemacht wird. Bekanntgabe des Zeitpunkts an welchem bei iWay der neue Key bestätigt werden muss (Beispiel-Mail s. unten).
  2. Login auf https://registrar.iway.ch/login.php
    Login bei iWay
  3. Die zu bearbeitende Domain auswählen ->
    Auswahl Domain

  4. Rechts auf DNSSEC Daten ändern klicken
    DNSSEC Daten ändern
  5. Die Details des neuen Keys aus dem Mail von Techstaff übernehmen und Speichern anwählen:
    Details des neuen Keys
    Der neue Key erscheint in der unteren Liste.

  6. Unten Domain updaten und... anklicken.

  7. Nun kann Techstaff mitgeteilt werden, dass der neue Key aktiviert wurde.

  8. Sobald Techstaff meldet, dass der alte gelöscht wurde, nochmal einlogen und den alten Key aus der Liste löschen und nochmal Domain updaten und... anklicken

  9. Fertig!

Beispiel-Mail Start Key Rollover

Hallo Roman,

die Lebenszeit des KSK (Key Signing Keys) - 1 Jahr - ist abgelaufen. Ich
habe deshalb eben einen Key-Rollover gestartet.

Im ersten Schritt ist der neue KSK mit der ID xxxx erzeugt worden. Der alte
hat die ID yyyy. Wir müssen jetzt warten, bis der neue Key in der Zone als
Eintrag geladen und verbreitet ist.
 
Frühestens nach der vorgegebenen TTL (4 Stunden, heute um 14:02)(wenn sich
ein Zonenfile geändert hat) und spätestens um 04:00 nächste Nacht erfolgt
automatisch der zweite Schritt und auch der neue KSK wird zum Signing des
ZSK verwendet.
 
Ab dann sollest du den neuen DS beim Provider hinterlegen. Ich bin nicht
ganz sicher, aber im Debugging Tool von Verisignlabs müsste ersichtlich
sein, dass in deiner Zone ein weiterer KSK hinzugekommen ist.

Wenn du den Vorgang pushen willst, kannst du nach hh:02 deine Zone touchen.
Immer 2 Minuten nach der vollen Stunde wird der Zonencheck durchgeführt.
 
Der aktuelle DS mit beiden KSK sieht so aus:

mybabey.ch.             IN DS 7881 7 1
8A3F19FC406276.......D1279BD595F7CD34

mybabey.ch.             IN DS 7881 7 2
A4E58C6E41669E.......04EC492C35E3F4B6560353FE3618A8FB0 77DD88C2

mybabey.ch.             IN DS 28743 7 1
66567A520ECAB53.....1C7562D53F4CF927

mybabey.ch.             IN DS 28743 7 2
3B8D785639421D......4784FC9CA33825099E02A99DC5F6C595 2C663A82Beispiel-Mail Key-Rollover beim Registrat auslösen


Gruss, Othmar