search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
blame | history | raw | HEAD
Sync usage with man page.
[netbsd-mini2440.git] / external / bsd / bind / dist / README.rfc5011
blobfd941fb93b7ef8452524e8ad86cb3b9fa5f01142
1
2                         BIND 9 RFC 5011 support
3
4 BIND 9.7.0 introduces support for RFC 5011, dynamic trust anchor
5 management.  Using this feature allows named to keep track of changes to
6 critical DNSSEC keys without any need for the operator to make changes to
7 configuration files.
8
9 VALIDATING RESOLVER
10 -------------------
11
12 To configure a validating resolver to use RFC5011 to maintain a trust
13 anchor, configure the trust anchor using a "managed-keys" statement.
14 Information about this can be found in the ARM, in the section titled
15 "managed-keys Statement Definition".
16
17 AUTHORITATIVE SERVER
18 --------------------
19
20 To set up an authoritative zone for RFC5011 trust anchor maintenance,
21 generate two (or more) key signing keys (KSKs) for the zone.  Sign the zone
22 with one of them; this is the "active" KSK.  All KSK's which do not sign
23 the zone are "stand-by" keys.
24
25 Any validating resolver which is configured to use the active KSK as an
26 RFC5011-managed trust anchor will take note of the stand-by KSKs in the
27 zone's DNSKEY RRset, and store them for future reference.  The resolver
28 will recheck the zone periodically, and after 30 days, if the new key is
29 still there, then the key will be accepted by the resolver as a valid
30 trust anchor for the zone.  Any time after this 30-day acceptance timer
31 has completed, the active KSK can be revoked, and the zone can be "rolled
32 over" to the newly accepted key.
33
34 The easiest way to place a stand-by key in a zone is to use the "smart
35 signing" features of dnssec-keygen and dnssec-signzone.  If a key with a
36 publication date in the past, but an activation date which is unset or in
37 the future, "dnssec-signzone -S" will include the DNSKEY record in the
38 zone, but will not sign with it:
39
40     $ dnssec-keygen -K keys -f KSK -P now -A now+2y example.net
41     $ dnssec-signzone -S -K keys example.net
42
43 To revoke a key, the new command "dnssec-revoke" has been added.  This adds
44 the REVOKED bit to the key flags and re-generates the K*.key and K*.private
45 files.
46
47 After revoking the active key, the zone must be signed with both the
48 revoked KSK and the new active KSK.  (Smart signing takes care of this
49 automatically.)
50
51 Once a key has been revoked and used to sign the DNSKEY RRset in which it
52 appears, that key will never again be accepted as a valid trust anchor by
53 the resolver.  However, validation can proceed using the new active key
54 (which had been accepted by the resolver when it was a stand-by key).
55
56 See RFC 5011 for more details on key rollover scenarios.
NetBSD on the FriendlyARM MINI2440