Hallo Martin, ist halb so schlimm, man muss halt einmal die ganzen Keys erzeugen und solange die nicht kompromittiert sind, kann man die beliebig lange verwenden. Wenn der KSK kompromittiert ist, dann wird es ekelig, analog wie ein kompromittierter CA Key. Bei allen Domains muss dann der KSK neu registriert werden.
Im Falle des ZSK ist es nicht so schlimm, man generiert einen neuen Key und lässt den alten Key noch ein paar Tage im Zonenfile. Später fliegt der alte Key raus und gut ist. Wenn der private Key bekannt wurde, ist dieses Vorgehen jedoch suboptimal... Bei mir erledigt das eine handvoll Shell Skripte und ein Cronjob, der die Serials updatet und die Zonen neu signiert. Insgesamt ist das schon recht pflegeleicht geworden :-) Die Doku von RIPE war bisher am verständlichsten. Falls allgemeines Interesse besteht, kann ich ja einen Workshop dazu veranstalten. Viele Grüße Christian Am 01.05.2010 17:50, schrieb Martin Schmitt: > Ansonsten: Wow. Wenn man viele Domains hat, muß man seinen Workflow ganz > schön ausbauen. -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
