6.5 區簽名和區重簽名

當簽名區文件時，主要采取以下操作：
a) 將區文件按照域名規范的順序進行排序；
b) 為區中的每個所有者名稱生成一個NSEC3記錄；
c) 使用KSK以離線方式為DNSKEY資源記錄集生成簽名，然后將DNSKEY資源記錄集與其RRSIG 資源記錄一起，加載到主域名服務器；

在以下情況下，區文件應重簽名：
a) 簽名已經到期或即將到期；
b) 區文件的內容已經改變；
c) 簽名密鑰已經泄露或者計劃更換。
區數據重簽名有兩種策略：
a) 完全重簽名。刪除所有現有的簽名記錄，重新排序區文件，重新生成所有的NSEC3資源記錄，最后生成新的簽名記錄；

本文章首發在網安wangan.com 網站上。