本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

过程:替换签名密钥

 

适用对象:Windows Server 2012 R2, Windows Server 2012

使用以下过程通过使用 DNS 管理器控制台或 Windows PowerShell 来替换一个或多个签名的密钥。 当您已经完成本主题中的过程时,返回到父清单。

System_CAPS_important重要事项

若要删除签名密钥立即,区域必须是未签名并且重新签名。 在紧急情况下,例如当签名密钥已泄露,请不尝试停用一个签名密钥和执行手动密钥滚动更新。 签名密钥滚动更新包括等待一段时间,以便有效期限可能会过期。 它要用以替换一个签名密钥通过停用,请参阅过程:停用一个签名密钥

当替换签名密钥时,该区域将立即进行重新签名。

您可以使用 DNS 管理器或 Windows PowerShell 来替换 DNSSEC 签名密钥:

可以使用 DNS 管理器查看一些签名的密钥设置。 但是,Windows PowerShell 提供了供查阅的其他设置。

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

若要替换使用 DNS 管理器的签名密钥

  1. 在主、 权威 DNS 服务器上,打开 DNS 管理器或连接到主、 权威 DNS 服务器使用 DNS 管理器。

  2. 右键单击 DNSSEC 签名区域,指向DNSSEC,然后单击取消区域签名

  3. 单击“下一步”,然后单击“完成”。

  4. 右键单击该区域,指向DNSSEC,然后单击对区域签名

  5. 单击下一步,选择自定义区域签名参数,然后单击下一步直到出现密钥签名密钥 (KSK)区域签名密钥 (ZSK)要用以替换签名密钥的页。

  6. 单击您想要替换,然后依次的签名密钥删除

  7. 单击添加,签名密钥,替换为提供参数值,然后单击确定

  8. 单击下一步并根据需要,提供的任何其他参数值并继续单击下一步直到到达DNS 安全扩展 (DNSSEC)页,指示您成功地配置了区域签名参数。

  9. 单击下一步,验证已成功签名区域显示,然后依次完成

替换签名密钥之后, 必须还替换已分发的所有信任锚。

中的成员身份管理员组或同等身份是完成这些过程所需的最低。查看有关使用适当帐户以及 本地和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477) 中的组成员身份的详细信息。

在使用的 Windows PowerShell 命令,替换secure.contoso.com替换为您想要查看的 DNSSEC 签名区域的名称。

若要替换一个使用 Windows PowerShell 的签名密钥

  1. 打开提升的 Windows PowerShell 提示符主要的权威 DNS 服务器上。

  2. 首先,必须取消区域签名。 若要取消区域签名,使用Invoke-DnsServerZoneUnsigncmdlet。 请参见以下示例:

    PS C:\> Invoke-DnsServerZoneUnsign -ZoneName secure.contoso.com -Force
    

    在此示例中,该区域secure.contoso.com无符号的本地 DNS 服务器上。 Force参数用于跳过确认。

  3. 接下来,使用Get-DnsServerSigningKeycmdlet 来检索签名密钥 Id。 请参见以下示例:

    PS C:\> Get-DnsServerSigningKey -ZoneName secure.contoso.com KeyId                                  KeyType         CryptoAlgorithm    KeyLength  StoreKeysInAD   IsRolloverEnabled -----                                  -------         ---------------    ---------  -------------   ----------------- 488a4688-39bd-4d15-a2bb-56474d665e38   KeySigningKey   RsaSha256          2048       True            True 7d1f81e4-230e-4704-a88c-d4bc9c9b5ab9   ZoneSigningKey  RsaSha256          1024       True            True
    

    在上例中,没有一个 ZSK 和一个 KSK。

  4. 若要替换签名密钥,必须将添加一个新的签名密钥。 若要添加签名的密钥,请使用Add-DnsServerSigningKeycmdlet。 请参见以下示例:

    Add-DnsServerSigningKey -ZoneName secure.contoso.com -Type KeySigningKey -CryptoAlgorithm RsaSha1NSec3 –KeyLength 3072
    
  5. 在此示例中,CryptoAlgorithmKeyLength参数设置为自定义值。 未指定的参数将使用默认值。

  6. 若要添加自定义 ZSK,使用Add-DnsServerSigningKeycmdlet。 请参见以下示例:

    Add-DnsServerSigningKey -ZoneName secure.contoso.com -Type ZoneSigningKey -CryptoAlgorithm RsaSha1NSec3
    

    在此示例中,CryptoAlgorithm参数设置为自定义的值。 未指定的参数将使用默认值。

  7. 完成添加新的签名密钥后,删除将被替换的签名密钥Remove-DnsServerSigningKeycmdlet。 请参见以下示例:

    PS C:\> Remove-DnsServerSigningKey -ZoneName secure.contoso.com -KeyId 488a4688-39bd-4d15-a2bb-56474d665e38 -Force
    

    在此示例中,Force参数用于跳过确认。

  8. 完成添加签名密钥,对区域进行签名。 若要对区域签名,使用Invoke-DnsServerZoneSigncmdlet。 请参见以下示例:

    Invoke-DnsServerZoneSign -ZoneName secure.contoso.com -Force
    

    在此示例中,Force参数用于跳过确认并立即对区域进行签名。

替换签名密钥之后, 必须还替换已分发的所有信任锚。

显示: