QRコード
cron(8)でZSKを作る件
引用:auto-dnssec maintain; を試してみる
ま、取り敢えず、これで上位へのDSやDLVの登録なんかを除けば、鍵を作り足し忘れない限り、大丈夫そうな状態が作れる感じ。適切なoffset値でdnssec-keygen(8)にtiming optionを指定してcron(8)あたりで呼べば、作成もなんとかなるのかも。
取り敢えず、こんな感じの
crontab(5)をnamed(8)の実行ユーザーで作って試してみる。GNU dateが使える環境前提ですけど。SHELL=/bin/sh
MAILTO=""
#
13 * * * * /usr/sbin/dnssec-keygen -r /dev/urandom -3 -a RSASHA256 \
-b 1024 -i 1h \
-A `/bin/date -u -d "1 hour" "+\%Y\%m\%d\%H\%M\%S"` \
-I `/bin/date -u -d "2 hours 10 minutes" "+\%Y\%m\%d\%H\%M\%S"` \
-D `/bin/date -u -d "2 hours 20 minutes" "+\%Y\%m\%d\%H\%M\%S"` \
-K /var/named/chroot/var/named/keys/example.jp \
-n ZONE example.jp > /dev/null 2>&1 \
&& /usr/sbin/rndc loadkeys example.jp. > /dev/null 2>&1
問題なさそうなら、
-iの値を1moぐらいにして、hourをmonthにして、10 mintutesを3 daysぐらいにして実機でやってみようかな。dnssec-keygen(8)ってman読むと、-Pも-Aもdefault is "now"って書いてますけど、-Aだけ書いて-P付けなかったら-Pには-Aの値が採用されるんですね。おもいっきり-iの説明に書いてますけど見落としてた。
コメント 0