DNSSEC Key Rollover bei Switch


Von Roman (romanf auf trash.net)


Key Rollover bei Switch: Step by Step Anleitung

  1. Ankündigung von Techstaff, dass Key-Rollover gemacht wird. Bekanntgabe des Zeitpunkts an welchem bei Switch der neue Key bestätigt werden muss (Beispiel-Mail s. unten).
  2. Login auf https://www.nic.ch/
  3. Die zu bearbeitende Domain auswählen (Schloss beim Status)


  4. Auf den Button DNSSEC klicken


  5. Option "DNSSEC aktivieren, Schlüssel ändern" auswählen und "Weiter" klicken


  6. Den alten Key abwählen, den neuen anwählen


  7. Zusammenfassung mit "Speichern" abschliesen




  8. Rückmeldung an Techstaff dass der Keywechsel gemacht wurde.

Beispiel-Mail Ankündigung Key Rollover

Hallo Roman,

die Lebenszeit des KSK (Key Signing Keys) - 1 Jahr - ist abgelaufen. Ich
habe deshalb einen Key-Rollover gestartet.

Im ersten Schritt ist der neue KSK mit der ID xxxx erzeugt worden. Der alte
hat die ID yyy. Wir müssen jetzt warten, bis der neue Key in der Zone als
Eintrag geladen und verbreitet ist. Dann leite ich den zweiten Schritt ein.

Im zweiten Schritt wird auch der neue KSK für das Signing des ZSK verwendet.
Dann musst du warten bis der DS bei Switch den neuen Key enthält und dann
musst du statt des alten KSK den neuen KSK auswählen.

Im dritten Schritt wird der alte KSK in der Zone gelöscht und wird dann
nicht mehr für Signing des ZSK verwendet.

Ich gebe dir wieder Bescheid, wenn ich den zweiten Schritt eingeleitet habe
(heute oder morgen). Du solltest in der Zwischenzeit sicherstellen, dass du
Zugang zum Switch-Portal hast um die Änderung durchführen zu können.

Gruss, Othmar

Beispiel-Mail Key-Rollover beim Registrat auslösen

Hallo Roman,

Es ist jetzt soweit, du solltest jetzt auf den neuen KSK wechseln.

Es ist tatsächlich nicht ganz trivial den entsprechenden Bearbeitungsweg zu
finden. Besonders wenn man es nur einmal im Jahr machen muss. Klar ist, dass
es zuerst die Zone ausgewählt werden muss um sie anschliessend zu
bearbeiten. Im nächsten Screen gibt es den Button "DNSSEC" und danach kann
man sich entscheiden, DNSSEC ganz zu deaktivieren oder eben die Schlüssel zu
ändern. Während des Rollovers müsste man dann zwei zur Auswahl haben, wo man
dann den neuen auswählen sollte. Dieser Schritt muss unbedingt passieren,
bevor der alte Schlüssel in der Zone selbst nicht mehr verwendet wird, sonst
gibt es keine vertrauenswürdige Kette mehr.

Gruss, Othmar