--------------------------------------------------------------
RENOUVELEMENT KSK
--------------------------------------------------------------

1- Conncter vous a votre hidden



2- Verifier votre KSK :

	# dig MonTLD dnskey +multi @0

	NB : 256 => ZSK et 257 => KSK



3- Generer une nouvelle clé KSK (Key Signing Key)


	# cd /var/named/keys

	# dnssec-keygen -r /dev/urandom -f KSK -a RSASHA256 -b 2048 -n ZONE MonTLD

	Generating key pair.................................+++ .........................+++ 
	KMonTLD.+008+88888


	Noter l'ID de la nouvelle KSK (88888)



4- Ajouter la nouvelle KSK a la fin du fichier de zone :


	# vi /var/named/zones/MonTLD

	...
	...
	
 
        $include "/var/named/keys/KMonTLD.+008+51333.key"     ; ZSK

        $include "/var/named/keys/KMonTLD.+008+52159.key"     ; KSK
	
        $include "/var/named/keys/KMonTLD.+008+88888.key"     ; New KSK

    
   Incrementer votre SOA

 

5- ReSigner votre zone :


	# cd /var/named/zones/
	# ls -l
	

	# dnssec-signzone -K /var/named/keys/ -x -o MonTLD MonTLD

	
	.....
	Zone fully signed:
	Algorithm: RSASHA256: KSKs: 2 active, 0 stand-by, 0 revoked
						  ZSKs: 1 active, 0 present, 0 revoked



6-  recharger votre config:
 
	
	rndc reconfig
	rndc reload
	
	Verifier votre ZSK :

	# dig MonTLD dnskey +multi @0

	NB : 256 => ZSK et 257 => KSK



7- Communiquer votre DS a votre parent pour la publier


8- Retirer l'ancienne KSK ( minimum 2xTTL )


# vi /var/named/zones/MonTLD

	...
	...

	
    $include "/var/named/keys/KMonTLD.+008+51333.key"     ; ZSK

    ;$include "/var/named/keys/KMonTLD.+008+52159.key"     ; KSK
	
     $include "/var/named/keys/KMonTLD.+008+88888.key"     ; New KSK
	


9-  recharger votre config: 
	
	rndc reconfig
	rndc reload
	
	Verifier votre ZSK :

	# dig MonTLD dnskey +multi @0