DNSSEC-HSM 署名ポリシーの作成 - BlueCat Integrity

[管理] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[管理] ページにいることを確認します。

[一般] で、[DNSSEC ポリシーの管理] をクリックします。

[DNSSEC 署名ポリシー] で、[新規] をクリックして [DNSSEC 署名ポリシー] を選択します。

[一般] で以下のパラメータを設定します。

ポリシー名: 命名ポリシーの名前を入力します。
署名有効期間 (日数): RRSIG リソースレコードが有効である日数を入力します。デフォルトの期間は 10 日です。
署名再署名期間 (日数): 署名有効期間が終わる前に BIND がゾーンに再署名する日数を入力します。デフォルトの期間は 2 日です。例えば、署名有効期間が 10 日で、署名再署名期間が 2 日の場合、BIND は署名有効期間の 8 日目にゾーンに再署名します。
署名ダイジェストアルゴリズム: 委任署名者 (DS) レコードに使用されるアルゴリズムを示します。[SHA1] または [SHA256] (推奨) を選択します。このアルゴリズムは、DS レコードを生成する場合にのみ適用されます。
鍵プロバイダ: 鍵プロバイダとして [Entrust HSM] を選択します。

[ゾーン署名鍵ポリシー] で、次のパラメータを設定します。

アルゴリズム: DNSSEC-HSM ゾーン署名のアルゴリズムを選択します。

アルゴリズム	説明	ゾーンに追加	サポートされる DNS/DHCP サーババージョン
RSASHA1	認証に RSA、およびデータの整合性に SHA-1 を使用します	NSEC レコード	DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
DSA	認証に DSA、およびデータの整合性に SHA-1 を使用します	NSEC レコード	DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
RSAMD5	認証に RSA、およびデータの整合性に MD5 を使用します	NSEC レコード	DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
RSASHA1NSEC3SHA1	認証に RSA、およびデータの整合性に SHA-1 を使用します	NSEC3 レコード	すべてのバージョンの DNS/DHCP サーバ
DSANSEC3SHA1	認証に DSA、およびデータの整合性に SHA-1 を使用します	NSEC3 レコード	DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
RSASHA256	認証に RSA、およびデータの整合性に SHA-256 を使用します	NSEC レコード	すべてのバージョンの DNS/DHCP サーバ
RSASHA512	認証に RSA、およびデータの整合性に SHA-512 を使用します	NSEC レコード	すべてのバージョンの DNS/DHCP サーバ
RSANSEC3SHA256	認証に RSA、およびデータの整合性に SHA-256 を使用します	NSEC3 レコード	すべてのバージョンの DNS/DHCP サーバ
RSANSEC3SHA512	認証に RSA、およびデータの整合性に SHA-512 を使用します	NSEC3 レコード	すべてのバージョンの DNS/DHCP サーバ
ECDSAP256SHA256*	ECDSA アルゴリズムを使用し、認証には P256 曲線、データの整合性には SHA-256 を使用します	NSEC レコード	DNS/DHCP サーバ v9.3.0 以降
ECDSAP384SHA384*	ECDSA アルゴリズムを使用し、認証には P356 曲線、データの整合性には SHA-384 を使用します	NSEC レコード	DNS/DHCP サーバ v9.3.0 以降
ED25519*	EdDSA アルゴリズムを使用し、認証には Ed25519 曲線、データの整合性には SHA-512 署名を使用します	NSEC レコード	DNS/DHCP サーバ v9.3.0 以降
ED448*	EdDSA アルゴリズムを使用し、認証には Ed448 曲線、データの整合性には SHAKE-256 署名を使用します	NSEC レコード	DNS/DHCP サーバ v9.3.0 以降

注: RSAMD5 アルゴリズムは、DNSSEC 鍵の生成には推奨されなくなりました。詳しくは、RFC4641、RFC4034、および RFC3110 を参照してください。DNSSEC アルゴリズムの詳細については、「http://www.iana.org/assignments/dns-sec-alg-numbers」を参照してください。

注: ゾーン署名鍵と鍵署名鍵には、NSEC レコードまたは NSEC3 レコードのいずれかを両方に使用する必要があります。1 つの鍵に NSEC、および他の鍵に NSEC3 を使用することはできません。ZSK および KSK には異なるアルゴリズムを使用できますが、各鍵のアルゴリズムは同じタイプのリソースレコードを作成する必要があります。

例えば、ZSK に RSASHA1、および KSK に DSA を選択できます。ただし、ZSK に RSASHA1、および KSK に DSANSEC3SHA1 を選択することはできません。ZSK および KSK に互換性のないアルゴリズムを選択すると、Address Manager は警告メッセージを表示します。

文字数 (ビット): ZSK の文字数をビット単位で選択します (デフォルトは「1024」)。選択したアルゴリズムに応じて、このフィールドのデフォルト値は変わります。
TTL のオーバーライド: このチェックボックスは、ZSK のデフォルトの TTL (Time To Live) をオーバーライドするように設定する場合に選択します。テキストフィールドおよびドロップダウンメニューが開きます。テキストフィールドに値を入力して、ドロップダウンメニューから時間の単位を選択します。
注: ZSK の [TTL のオーバーライド] は、KSK の [TTL のオーバーライド] と同じである必要があります。
有効期間 (日数): ZSK が有効である日数を入力します (デフォルトは「30」)。
重複期間 (日数): 有効期間が終わる前に、鍵のロールオーバーのために新しい鍵が生成される日数を入力します (デフォルトは「7」)。例えば、[有効期間 (日数)] が 30 で [重複期間 (日数)] が 2 の場合、新しい鍵は ZSK の有効期間の 28 日目に生成されます。
ロールオーバー方法: 鍵がロールオーバーしたときに、新しい ZSK を利用可能にする方法を選択します (デフォルトは「事前公開」)。
- 事前公開: 重複期間の始めに新しい鍵を公開し、新しい鍵を使用できることを示します。
- 二重署名: 重複期間の始めに既存の鍵および新しい鍵でゾーンおよび各リソースレコードに署名します。
新規鍵署名期間 (日数): 有効期間が終わる前に、ゾーン内のリソースレコードが新しい鍵によって署名され、同時に古い鍵によって署名が解除される日数を入力します (デフォルトは「3」)。このパラメータは、[ロールオーバー方法] として [事前公開] を選択した場合にのみ表示されます。
保護タイプ: Entrust HSM を鍵プロバイダに選択した場合、自動的に [モジュール] として設定されます。
注: モジュール保護のためのパスワードフレーズは不要です。

[鍵署名鍵ポリシー] で、次のパラメータを設定します。

アルゴリズム: DNSSEC-HSM ゾーン署名のアルゴリズムを選択します。

アルゴリズム	説明	ゾーンに追加	サポートされる DNS/DHCP サーババージョン
RSASHA1	認証に RSA、およびデータの整合性に SHA-1 を使用します	NSEC レコード	DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
DSA	認証に DSA、およびデータの整合性に SHA-1 を使用します	NSEC レコード	DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
RSAMD5	認証に RSA、およびデータの整合性に MD5 を使用します	NSEC レコード	DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
RSASHA1NSEC3SHA1	認証に RSA、およびデータの整合性に SHA-1 を使用します	NSEC3 レコード	すべてのバージョンの DNS/DHCP サーバ
DSANSEC3SHA1	認証に DSA、およびデータの整合性に SHA-1 を使用します	NSEC3 レコード	DNS/DHCP サーバ v9.2.1 以下 (9.2.2 以降ではサポートされません)
RSASHA256	認証に RSA、およびデータの整合性に SHA-256 を使用します	NSEC レコード	すべてのバージョンの DNS/DHCP サーバ
RSASHA512	認証に RSA、およびデータの整合性に SHA-512 を使用します	NSEC レコード	すべてのバージョンの DNS/DHCP サーバ
RSANSEC3SHA256	認証に RSA、およびデータの整合性に SHA-256 を使用します	NSEC3 レコード	すべてのバージョンの DNS/DHCP サーバ
RSANSEC3SHA512	認証に RSA、およびデータの整合性に SHA-512 を使用します	NSEC3 レコード	すべてのバージョンの DNS/DHCP サーバ
ECDSAP256SHA256*	ECDSA アルゴリズムを使用し、認証には P256 曲線、データの整合性には SHA-256 を使用します	NSEC レコード	DNS/DHCP サーバ v9.3.0 以降
ECDSAP384SHA384*	ECDSA アルゴリズムを使用し、認証には P356 曲線、データの整合性には SHA-384 を使用します	NSEC レコード	DNS/DHCP サーバ v9.3.0 以降
ED25519*	EdDSA アルゴリズムを使用し、認証には Ed25519 曲線、データの整合性には SHA-512 署名を使用します	NSEC レコード	DNS/DHCP サーバ v9.3.0 以降
ED448*	EdDSA アルゴリズムを使用し、認証には Ed448 曲線、データの整合性には SHAKE-256 署名を使用します	NSEC レコード	DNS/DHCP サーバ v9.3.0 以降

注: RSAMD5 アルゴリズムは、DNSSEC 鍵の生成には推奨されなくなりました。詳しくは、RFC4641、RFC4034、および RFC3110 を参照してください。DNSSEC アルゴリズムの詳細については、「http://www.iana.org/assignments/dns-sec-alg-numbers」を参照してください。

注: ゾーン署名鍵と鍵署名鍵には、NSEC レコードまたは NSEC3 レコードのいずれかを両方に使用する必要があります。1 つの鍵に NSEC、および他の鍵に NSEC3 を使用することはできません。ZSK および KSK には異なるアルゴリズムを使用できますが、各鍵のアルゴリズムは同じタイプのリソースレコードを作成する必要があります。

例えば、ZSK に RSASHA1、および KSK に DSA を選択できます。ただし、ZSK に RSASHA1、および KSK に DSANSEC3SHA1 を選択することはできません。ZSK および KSK に互換性のないアルゴリズムを選択すると、Address Manager は警告メッセージを表示します。

文字数 (ビット): KSK の文字数をビット単位で選択します (デフォルトは「2048」)。選択したアルゴリズムに応じて、このフィールドのデフォルト値は変わります。
TTL のオーバーライド: このチェックボックスは、KSK のデフォルトの TTL (Time To Live) 値をオーバーライドするように設定する場合に選択します。テキストフィールドおよびドロップダウンリストが開きます。テキストフィールドに値を入力して、ドロップダウンメニューから時間の単位を選択します。
注: KSK の [TTL のオーバーライド] は、ZSK の [TTL のオーバーライド] と同じである必要があります。
有効期間 (日数): KSK が有効である日数を入力します (デフォルトは「360」)。
重複期間 (日数): 有効期間が終わる前に、鍵のロールオーバーのために新しい鍵が生成される日数を入力します (デフォルトは「14」)。例えば、[有効期間 (日数)] が 365 で [重複期間 (日数)] が 14 の場合、新しい鍵は ZSK の有効期間の 351 日目に生成されます。
ロールオーバー方法: 鍵がロールオーバーしたときに、新しい KSK を利用可能にする方法を選択します (デフォルトは「二重署名」)。
- 事前公開: 重複期間の始めに新しい鍵を公開し、新しい鍵を使用できることを示します。
- 二重署名: 重複期間の始めに既存の鍵および新しい鍵でゾーンおよび各リソースレコードに署名します。
新規キー署名期間 (日数): KSK の有効期間が終わる前に、ゾーン内のリソースレコードが新しい鍵を使用して署名され、同時に古い鍵によって署名が解除される日数を入力します。このパラメータは、[KSK ロールオーバー方法] として [事前公開] を選択した場合にのみ表示されます。
保護タイプ: Entrust HSM を鍵プロバイダに選択した場合、自動的に [モジュール] として設定されます。
注: モジュール保護のためのパスワードフレーズは不要です。

必要に応じて [変更管理] で、コメントを追加します。

[追加] をクリックします。

DNSSEC-HSM 署名ポリシーの作成 - BlueCat Integrity - 9.5.0

管理ガイド