本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

过程:启用自动更新密钥滚动更新上的信任锚

 

适用对象:Windows Server 2012 R2, Windows Server 2012

使用以下过程来启用自动更新使用 DNS 管理器控制台或 Windows PowerShell 的密钥滚动更新上的信任锚。 当您已经完成本主题中的过程时,返回到父清单。

以下过程启用使用 DNSSEC 已签名区域的自动信任锚点更新。

如果该区域未签名,并且您想要启用自动信任锚点更新时对区域签名,请参阅过程:自定义区域签名参数过程:使用默认设置对区域签名 默认情况下,此设置处于启用状态。

System_CAPS_important重要事项

如果启用,自动更新的信任锚仅在自动密钥滚动更新期间发生。 信任锚点不会更新如果执行手动密钥滚动更新。

选择要使用 DNS 管理器或 Windows PowerShell:

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

若要启用自动更新密钥滚动更新使用 DNS 管理器上的信任锚

  1. 在主、 权威 DNS 服务器上,打开 DNS 管理器或连接到主、 权威 DNS 服务器使用 DNS 管理器。

  2. 在控制台树中,右键单击该区域计划以启用自动更新信任锚分配指向DNSSEC,然后单击属性

  3. 单击KSK选项卡。

  4. 对于下列出的每个 KSK密钥签名密钥 (KSKs),请单击 KSK编辑,然后在密钥滚动更新部分中,选择启用自动滚动更新复选框。

  5. 编辑滚动更新频率如果需要,然后单击确定

  6. 单击ZSK选项卡。

  7. 对于下列出的每个 ZSK区域签名密钥 (ZSKs),请单击 ZSK编辑,然后在密钥滚动更新部分中,选择启用自动滚动更新复选框。

  8. 编辑滚动更新频率如果需要,然后单击确定

  9. 单击确定若要关闭 DNSSEC 的属性对话框。

  10. 在弹出窗口中显示,单击以确认对区域所做的更改。

  11. 验证DNSSEC 配置参数成功显示,然后依次确定

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

若要使用所提供的示例 Windows PowerShell 示例,请将服务器和区域的名称替换为服务器和在您的环境中使用的区域的名称。

若要启用自动更新使用 Windows PowerShell 的密钥滚动更新上的信任锚

  1. 打开提升的 Windows PowerShell 提示符主要的权威 DNS 服务器上。

  2. 您可以使用Get-DnsServerSigningKeycmdlet 来检索KeyId的签名中的区域,并将密钥值Enable-DnsServerSigningKeyRollovercmdlet 来启用的所有签名密钥的密钥滚动更新。 请参见以下示例:

    PS C:\> Get-DnsServerSigningKey -ZoneName secure.contoso.com | Enable-DnsServerSigningKeyRollover -Force
    

    在前面的示例中,Force参数用于跳过确认。

  3. 如果您想要为一些签名密钥而不是其他启用滚动更新,则必须指定单个KeyId的每个签名的密钥。 请参阅以下示例。

    PS C:\> Get-DnsServerSigningKey -ZoneName secure.contoso.com KeyId                                  KeyType         CryptoAlgorithm    KeyLength  StoreKeysInAD   IsRolloverEnabled -----                                  -------         ---------------    ---------  -------------   ----------------- 5f7d05be-1bb6-4a0c-b923-f9be300bf6ea   KeySigningKey   RsaSha1NSec3       2048       True            False a2a72d54-f9d7-4b4b-a115-a4097092f5bf   ZoneSigningKey  RsaSha1NSec3       1024       True            False PS C:\> Enable-DnsServerSigningKeyRollover -ZoneName secure.contoso.com -KeyId 5f7d05be-1bb6-4a0c-b923-f9be300bf6ea -Force PS C:\> Get-DnsServerSigningKey -ZoneName secure.contoso.com KeyId                                  KeyType         CryptoAlgorithm    KeyLength  StoreKeysInAD   IsRolloverEnabled -----                                  -------         ---------------    ---------  -------------   ----------------- 5f7d05be-1bb6-4a0c-b923-f9be300bf6ea   KeySigningKey   RsaSha1NSec3       2048       True            True a2a72d54-f9d7-4b4b-a115-a4097092f5bf   ZoneSigningKey  RsaSha1NSec3       1024       True            False
    
显示: