Remote Signing

Artikelübersicht

  1. DNSSec
  2. Hintergrund
  3. Remote Signing

Vorgehensweise

Der Nameserver des Kunden stellt die originären Zonendaten nur noch zur Abholung durch IKS bereit. Dies erfordert eine Konfigurationseinstellung am authoritiven Nameserver. Die Prozesse der Zonenerzeugung und der Zonenhandhabung incl. aller derzeit im Einsatz befindlichen Werkzeuge beim Kunden bleibt unverändert.

IKS holt die Zone mit AXFR/IXFR nach einem automatisch vom Kundenserver erzeugten Notify ab und signiert sie schnellstmöglich, jedoch garantiert einmal innerhalb von 24 Stunden. Die Schlüsselverweise werden regelmäßig gewechselt und – mit Authorisierung durch den Kunden – automatisch in den übergeordneten Zonen bzw. DLV-Listen aktualisiert. Bei Vertragskündigung wird ein Schlüsselwechsel auf vom Kunden bereitgestellte Schlüsseldaten vorgenommen.

Der Nameserver der IKS stellt die signierte Zone automatisch dem Nameserver des Kunden wieder auf gleiche Weise (Notify und Zonentransfer) zur Verfügung. Dies ist Bestandteil der Konfigurationseinstellung am authoritiven Nameserver, die bereits vorgenommen wurde.

Der Nameserver des Kunden erscheint damit wie bisher als primärer Server für die Zone und informiert wie bisher die sekundären Zonen selbst. Eine Änderung der Registrierungsdaten oder der Konfigurationen der sekundären Server ist nicht notwendig. (Hidden primary Ansatz)

Typischerweise dauert der Durchlauf des gesamten Prozesses weniger als zehn Minuten. D.h. nach Einspielen einer Änderung auf Kundenseite sind diese Änderungen signiert auf allen aktiven Nameservern einige Minuten später verfügbar. Diese Zeitangabe ist allerdings best effort, kann sich also bei vielen Änderungen durchaus vergrößern. Service Level Agreements über verringerte Maximalwartezeiten sind möglich.

Für extrem zeitkritische Aktionen kann eine Livesignierung vereinbart werden. Dabei sind die IKS Nameserver als authoritiv für die Zone einzutragen. Jede Anfrage wird dann an die Kundennameserver durchgestellt und die Antwort on the fly signiert.

Selbstverständlich bieten wir auch den Aufbau und Betrieb einer solchen Lösung im Haus beim Kunden an.

Bei Fragen oder Bestellungen kontaktieren  Sie uns.

Kommentare

Bitte melden Sie sich an oder registrieren Sie sich um kommentieren zu können.

Powered by eZ Publish™ CMS Open Source Web Content Management. Copyright © 1999-2010 eZ Systems AS (except where otherwise noted). All rights reserved.