So-net無料ブログ作成
検索選択
メッセージを送る

cron(8)でZSKを作る件

引用:auto-dnssec maintain; を試してみる

ま、取り敢えず、これで上位へのDSやDLVの登録なんかを除けば、鍵を作り足し忘れない限り、大丈夫そうな状態が作れる感じ。適切なoffset値でdnssec-keygen(8)にtiming optionを指定してcron(8)あたりで呼べば、作成もなんとかなるのかも。


取り敢えず、こんな感じのcrontab(5)named(8)の実行ユーザーで作って試してみる。GNU dateが使える環境前提ですけど。

SHELL=/bin/sh
MAILTO=""
#
13 * * * * /usr/sbin/dnssec-keygen -r /dev/urandom -3 -a RSASHA256 \
 -b 1024 -i 1h \
 -A `/bin/date -u -d "1 hour" "+\%Y\%m\%d\%H\%M\%S"` \ 
 -I `/bin/date -u -d "2 hours 10 minutes" "+\%Y\%m\%d\%H\%M\%S"` \ 
 -D `/bin/date -u -d "2 hours 20 minutes" "+\%Y\%m\%d\%H\%M\%S"` \ 
 -K /var/named/chroot/var/named/keys/example.jp \
 -n ZONE example.jp > /dev/null 2>&1 \
 && /usr/sbin/rndc loadkeys example.jp. > /dev/null 2>&1


問題なさそうなら、-iの値を1moぐらいにして、hourmonthにして、10 mintutes3 daysぐらいにして実機でやってみようかな。

dnssec-keygen(8)ってman読むと、-P-Adefault is "now"って書いてますけど、-Aだけ書いて-P付けなかったら-Pには-Aの値が採用されるんですね。おもいっきり-iの説明に書いてますけど見落としてた。
nice!(0)  コメント(0)  トラックバック(0) 

nice! 0

コメント 0

コメントを書く

お名前:[必須]
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

トラックバック 0

この記事のトラックバックURL:
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。

×

この広告は1年以上新しい記事の更新がないブログに表示されております。