Dieses Büchlein hat mir beim Aufsetzen von DNSSEC sehr geholfen, unbedingte #Leseempfehlung!
Allerdings sollten nach doch einigen Jahren nun wohl mal ZSK und vielleicht sogar KSK gewechselt werden — und ich habe keine Ahnung, wie ich das hinkriegen kann.
Was ich weiß: Wenn ich es falsch mache, dann kann die ganze Domain aus dem DNS verschwinden — kein guter Gedanke.
Da muß ich wohl noch einiges lesen und dann viel Mut antrinken…
Bislang mache ich nur dieses:
# crontab -l […] 0 7 * * 1 /usr/sbin/dnssec-keygen -a RSASHA512 -b 4096 -K /var/lib/named/etc/dnssec-keys -n ZONE -I +9d -D +11d sokoll.com ; chown named:named /var/lib/named/etc/dnssec-keys/* ; /usr/sbin/rndc loadkeys sokoll.com
Fragt mich nicht, was das im Einzelnen tut 😉