私は現在 WMbind に取り組んでおり、'signedzone' という新しいモジュールを作成しています。そして、キー テーブルである wmbind データベースにもう 1 つのテーブルを追加しました。では、上記の質問のように、キーを使用してゾーンに署名した後、キー (この場合は KSK と ZSK の両方) を保存する必要がありますか?
以前に使用済みのキーを削除しようとしましたが、署名されたゾーンには何もしませんでした。
ただし、使用済みのキーを削除すると、署名されているゾーンに影響するかどうかを知る必要があります。
前もって感謝します
DNSSEC 署名ゾーンにはキー ペアの公開部分しかないため、キーを削除してもゾーンにはまったく影響しません。一般に、鍵は将来必要になる可能性が高いため、削除することはお勧めできません。
プライベート部分を削除すると、変更を加えたとき、または RRSIG を更新する必要があるときに、それらのキーを使用してゾーンに再署名できなくなります (RRSIG には有効期間があり、無効になります)。キーがなくなった場合は、すべてをやり直す必要があります。DS RR を親 DNS ゾーンにアップロードした場合は、それも新しい KSK で更新する必要があります。
秘密鍵と同様に、DNSSEC キーは保護する必要がありますが、ライフサイクル全体にわたって保存する必要があります。