Ini adalah perintah ods-ksmutil yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
ods-ksmutil - Zona OpenDNSSEC dan manajemen kunci
RINGKASAN
ods-ksmutil penyiapan
ods-ksmutil [ awal | berhenti | memberitahukan ]
ods-ksmutil memperbarui [ kasp | daftar zona | conf | semua ]
ods-ksmutil daerah [ menambahkan | hapus | daftar ] ...
ods-ksmutil daftar zona [ mengimpor | ekspor ]
ods-ksmutil kunci [ menghasilkan | mengimpor | ekspor | daftar | pembersihan | rollover | ksk-pensiun |
ds-terlihat | hapus ] ...
ods-ksmutil rollover daftar ...
ods-ksmutil kebijaksanaan [ ekspor | mengimpor | pembersihan ] ...
ods-ksmutil gudang daftar ...
ods-ksmutil backup [ daftar | mempersiapkan | melakukan | rollback | dilakukan ]
ods-ksmutil Database backup ...
DESKRIPSI
ods-ksmutil mengelola pengoperasian KASP Enforcer, yang merupakan bagian dari OpenDNSSEC
yang memicu pembuatan kunci dan operasi penandatanganan pada domain berdasarkan kebijakan dengan
waktu yang ditentukan pengguna dan persyaratan keamanan. Karena segala sesuatu di luar manajemen ini
utilitas biasanya otomatis, ods-ksmutil adalah alat utama untuk mengelola OpenDNSSEC.
Di antara fungsi ods-ksmutil adalah manajemen kunci, pembaruan daftar zona dan
memutar kunci secara manual untuk memulihkan dari situasi luar biasa seperti kehilangan kunci.
Untuk memulai, pemanggilan pertama dari ods-ksmutil penyiapan dibutuhkan; lihat SETUP DAN UPDATE
PERINTAH di bawah ini untuk detailnya. Setelah ini selesai, sisa fungsi dari
ods-ksmutil menjadi tersedia.
Bagian berikut membahas subperintah dalam grup logis, merinci opsi apa pun
yang mereka dukung.
UMUM PILIHAN
-c file konfigurasi, --konfigurasi file konfigurasi
Ubah file conf.xml yang digunakan dari default.
membantu Ini dapat digunakan sebagai sub-perintah untuk ods-ksmutil atau dapat digunakan setelah parsial
sub-perintah. Sebagai tanggapan, ods-ksmutil akan memberikan sinopsis bagaimana melanjutkan
perintah.
-V, --Versi: kapan
Tampilkan nomor versi
SETUP DAN UPDATE SUB PERINTAH
penyiapan Impor conf.xml, kasp.xml dan zonelist.xml ke dalam database. Ini menghapus semua
informasi manajemen terkini dari database dengan manajemen OpenDNSSEC
informasi, termasuk referensi ke kunci. Pembaruan untuk pengaturan yang ada harus
oleh karena itu biasanya tidak menjalankan subperintah ini, tetapi memperbarui sebagai gantinya.
memperbarui kasp
memperbarui daftar zona
memperbarui conf
memperbarui semua
Perbarui database dengan konten file konfigurasi masing-masing, atau semua
file-file itu. Hasilnya sebanding dengan penyiapan sub-perintah, kecuali itu
informasi manajemen tentang OpenDNSSEC tidak dihapus. (Perhatikan juga bahwa perbarui kasp
tidak menghapus kebijakan apa pun dari database, pembersihan kebijakan dapat digunakan untuk menghapus
kebijakan yang tidak digunakan).
DAERAH MANAJEMEN SUB PERINTAH
daerah menambahkan --zona|-z daerah [--kebijakan|-p nama] [--dalam-jenis|-j mengetik] [--tipe-keluar|-q mengetik]
[--masukan|-i memasukkan] [--keluaran|-o keluaran] [--tanpa-xml]
Tambahkan zona ke zonelist.xml dan database. Ini setara dengan manual
mengedit zonelist.xml dan kemudian menjalankan memperbarui daftar zona sub-perintah. --zona
opsi memberi nama zona yang akan ditambahkan; opsi --policy menamai kebijakan yang akan digunakan
default; --in-type dan --out-type menentukan jenis input dan output
adapter (harus DNS atau File, default adalah File); opsi --input menentukan a
lokasi non-standar untuk zona yang tidak ditandatangani (defaultnya adalah
/var/lib/opendnssec/unsigned/ZONE) atau file input DNS (defaultnya adalah
/etc/opendnssec/addns.xml); opsi --output menentukan lokasi non-standar
untuk zona yang ditandatangani (defaultnya adalah /var/lib/opendnssec/signed/ZONE) atau output DNS
file (defaultnya adalah /etc/opendnssec/addns.xml). Bendera --no-xml menghentikan
file zonelist.xml agar tidak diperbarui. Ini cocok untuk mode batch di mana Anda
akan menambahkan beberapa zona dan kemudian hanya menulis daftar zona sekali di akhir.
daerah hapus --zona|-z nama [--tanpa-xml]
daerah hapus --semua|-a
Hapus satu zona (atau semua zona, masing-masing) dari zonelist.xml dan
basis data. Ini setara dengan mengedit zonelist.xml secara manual dan kemudian menjalankan
memperbarui daftar zona sub-perintah. Bendera --no-xml menghentikan file zonelist.xml dari
sedang diperbarui. Ini cocok untuk mode batch di mana Anda akan menghapus beberapa
zones dan kemudian tulis zonelist sekali di akhir.
daerah daftar
Daftar zona dari zonelist.xml. TODO: Bukan dari database?
daftar zona ekspor
Ekspor daftar zona dari database dalam format yang sama dengan zonelist.xml
daftar zona mengimpor
Sinkronisasi database dengan isi zonelist.xml; identik dengan "pembaruan
daftar zona"
KUNCI MANAJEMEN SUB PERINTAH
kunci menghasilkan --kebijakan|-p nama --interval|-n selang [--zonatotal|-Z zona total]
Buat kunci yang cukup untuk kebijakan bernama untuk bertahan selama periode waktu yang diberikan oleh
selang. Lihat FORMAT INTERVAL untuk format spesifikasi pengaturan waktu.
Jika dikonfigurasi, OpenDNSSEC akan secara otomatis membuat kunci saat diperlukan.
Perintah ini dapat digunakan untuk membuat kunci sebelumnya (mungkin selama masa pakai yang diharapkan dari sebuah
HSM) untuk membantu dengan kebijakan pencadangan. Ini juga merupakan metode pragenerasi yang nyaman
satu set kunci untuk memungkinkan situs pemulihan bencana memiliki salinan kunci tanpa
diperlukan untuk menyinkronkan kunci yang dihasilkan dengan cepat.
Secara default, perintah menghasilkan kunci untuk semua zona yang ditemukan pada yang ditentukan
aturan. Jika parameter opsional --zonetotal ditentukan, maka kuncinya adalah
dihasilkan untuk jumlah total zona itu, terlepas dari berapa banyak sebenarnya
saat ini pada kebijakan.
kunci mengimpor --algoritma|-g nama alg --bit|-b bit --repositori|-r repo --cka_id|-k ckaid
--zona|-z daerah --tipe kunci|-t mengetik --keadaan kunci|-e negara --waktu|-w waktu [--check-repositori|-C
gudang penyimpanan] [--pensiun|-y waktu]
Tambahkan kunci yang dibuat di luar kode OpenDNSSEC ke dalam database. Di dalam
melakukannya, rincian lebih lanjut yang terlibat dalam manajemen kunci harus ditentukan dalam
Pilihan.
Opsi --algorithm menamai algoritme yang digunakan dengan kunci ini; --bits menentukan
kekuatan algoritma ini sebagai ukuran kunci dalam bit.
Opsi --repository menamai repositori tempat kunci harus disimpan; NS
--cka_id opsi menentukan nama yang akan digunakan untuk mengidentifikasi kunci ini dalam
gudang; opsi --zone menentukan zona yang akan digunakan kunci ini;
opsi --keytype menentukan apakah kunci ini harus berfungsi sebagai KSK atau ZSK.
Lihat JENIS KUNCI di bawah untuk pengenalan istilah-istilah ini.
Opsi --keystate menentukan status di mana kunci akan berada setelah impor,
dan harus merupakan salah satu opsi yang ditentukan di bagian NEGARA KUNCI di bawah. waktu
opsi menentukan waktu kunci ini dibuat; opsi --check-repositori
ditentukan bahwa impor kunci harus gagal jika tidak ada kunci yang cocok dengan yang ditentukan
cka_id ada di Repositori. opsi --retire menentukan waktu ini
kunci harus pensiun. Dua opsi terakhir ini mengambil format yang diberikan dalam TIME
FORMAT bagian di bawah ini.
kunci ekspor --zona|-z nama [--keadaan kunci|-e negara] [--jenis kunci|-t mengetik] [--ds]
kunci ekspor --semua [--keadaan kunci|-e negara] [--jenis kunci|-t mengetik] [--ds]
Ekspor kunci untuk zona tertentu, atau untuk semua zona masing-masing, dari
basis data. Opsi --ds dapat digunakan untuk mengambil data DS untuk diunggah ke a
registri alih-alih kunci lengkap; opsi --keystate dapat digunakan untuk membatasi
output ke kunci dalam keadaan tertentu; opsi --keytype dapat digunakan untuk membatasi
output ke kunci dari jenis yang diberikan. Lihat KUNCI JENIS dan KUNCI NEGARA bagian di bawah
untuk a spesifikasi of mungkin jenis dan status kunci.
kunci daftar [--daerah nama] [--bertele-tele] [--keadaan kunci|--semua|-e negara|-a] [--jenis kunci mengetik|-t mengetik]
Daftar informasi tentang kunci di semua zona, atau di zona tertentu. Dengan kunci default
dalam keadaan GENERATE dan DEAD tidak ditampilkan.
Opsi --verbose digunakan untuk membuat daftar informasi tambahan tentang setiap kunci.
Opsi --keystate dapat digunakan untuk membatasi output ke kunci dalam keadaan tertentu. Jika
opsi --all digunakan maka kunci di semua status (termasuk GENERATE dan DEAD) adalah
ditampilkan. Opsi --keytype dapat digunakan untuk membatasi output ke kunci yang diberikan
Tipe. Lihat KUNCI JENIS dan KUNCI NEGARA bagian di bawah untuk a spesifikasi of
mungkin jenis dan status kunci.
kunci pembersihan --zona|-z nama
kunci pembersihan --kebijakan|-p nama
Hapus kunci apa pun dalam status Mati dari repositori dan dari database
Penegak KASP. Opsi --zone dan --policy digunakan untuk membatasi operasi ini ke
satu zona bernama atau kebijakan, masing-masing.
kunci rollover --zona|-z nama --tipe kunci mengetik|-t mengetik
kunci rollover --zona|-z nama --semua|-a
kunci rollover --kebijakan|-p nama --tipe kunci mengetik|-t mengetik
kunci rollover --kebijakan|-p nama --semua|-a
Rollover kunci aktif pada zona atau kebijakan bernama, masing-masing. Perintah ini adalah
digunakan untuk memulai rollover manual; jika tidak diberikan, OpenDNSSEC akan otomatis
kunci rollover saat dibutuhkan. (Atau, dalam kasus KSK itu akan memulai
proses rollover, untuk menyelesaikan rollover KSK lihat ksk-roll di bawah.)
Opsi --keytype menentukan jenis kunci yang akan digulung. Atau --all
opsi dapat digunakan yang akan menggulung kedua jenis kunci. Setelah berlari, KASP
Enforcer akan dibangunkan sehingga penandatangan dapat dikirimi informasi baru.
Jika kebijakan zona tersebut menetapkan bahwa kunci dibagikan, maka semua zona aktif
kebijakan itu akan digulirkan. Jika sesuai, cadangan file DB sqlite dibuat.
Jika tidak ada kunci yang siap untuk mengambil alih dari kunci saat ini maka rollover akan
tidak terjadi segera, tetapi akan ditunda sampai kunci dalam keadaan siap.
kunci ksk-pensiun --zona|-z daerah
kunci ksk-pensiun --tag kunci|-x tag kunci
kunci ksk-pensiun --cka_id|-k ckaid
Tunjukkan kepada OpenDNSSEC bahwa kunci yang saat ini aktif harus dihentikan. Jika kunci
pengidentifikasi tidak diberikan maka kunci tertua di zona akan dihentikan.
Jika hanya satu kunci dalam keadaan aktif maka perintah ini akan keluar dengan kesalahan
pesan, karena menyelesaikan tidak akan meninggalkan kunci aktif.
kunci ds-terlihat --zona|-z daerah --tag kunci|-x tag kunci [--tidak-beri tahu|-l] [--tidak-pensiun|-f]
kunci ds-terlihat --zona|-z daerah --cka_id|-k ckaid [--tidak-beri tahu|-l] [--tidak-pensiun|-f]
Tunjukkan pada OpenDNSSEC bahwa catatan DS yang dikirimkan telah muncul di zona induk,
dan dengan demikian memicu penyelesaian rollover KSK. Perhatikan bahwa tindakan ini bukan
belum terstandarisasi, dan karena itu tidak dapat diselesaikan dengan cara yang umum dan otomatis.
Perintah ini dirancang untuk dimasukkan dalam pengaturan pribadi apa pun yang mungkin atau mungkin
tidak otomatis.
Ada beberapa cara untuk menentukan DS mana yang ada di DNS, dan opsinya mencerminkan ini
alternatif. Opsi --keytag menentukan bilangan bulat pendek yang berfungsi sebagai
DNSSEC menangani kunci; opsi --cka_id mengacu pada kunci melalui panjangnya
pengenal heksadesimal yang digunakan untuk mengidentifikasi kunci dalam repositori.
Bendera --no-notify opsional juga dapat diteruskan, yang mencegah penegak
diberitahu tentang perubahan ini. Jika bendera ini digunakan maka penegaknya harus
diberitahukan secara manual dengan perintah 'ods-enforcerd notify' atau perubahan tidak akan
berlaku sampai pelaksanaan terjadwal berikutnya dari penegak.
Bendera --no-retire opsional juga dapat diteruskan, tanpa ini kunci yang ada
dipindahkan ke keadaan pensiun pada saat yang sama dengan membuat kunci baru aktif. Jika
Anda ingin menunda langkah ini lalu berikan tanda ini dan gunakan perintah ksk-retire
Saat dibutuhkan.
kunci hapus --cka_id|-k ckaid [--tidak-hsm]
Hapus kunci bernama dari sistem.
Kunci dalam status GENERATE atau MATI dapat dihapus dengan aman dari sistem karena:
tidak sedang digunakan.
Bendera --no-hsm dapat diberikan jika Anda ingin meninggalkan materi kunci di HSM.
rollover daftar
Buat daftar tanggal dan waktu yang diharapkan dari rollover yang akan datang. Ini bisa digunakan untuk mendapatkan
gagasan tentang pekerjaan yang akan datang, seperti penyerahan catatan DS yang tidak terstandarisasi ke
sebuah registri.
KEBIJAKAN ADMINISTRASI SUB PERINTAH
kebijaksanaan ekspor [--kebijakan|--semua|-p|-a]
Ekspor kebijakan dari database dalam format yang sama dengan file kasp.xml.
kebijaksanaan mengimpor
Update database dengan isi kasp.xml; identik dengan "perbarui kasp".
kebijaksanaan pembersihan
* Eksperimental *
Hapus semua kebijakan yang tidak memiliki zona yang terkait dengannya. Perhatikan bahwa ini
perintah hanya diuji di lingkungan lab dan disarankan untuk berhati-hati.
GUDANG DAN CADANGAN SUB PERINTAH
gudang daftar
Daftar repositori dari database.
backup daftar --repositori|-r nama
Buat daftar cadangan yang telah dibuat pada repositori yang diberikan. --repositori
opsi menentukan repositori apa yang akan dicantumkan.
backup mempersiapkan --repositori|-r nama
Mulai prosedur pencadangan kunci dua fase. Siapkan kunci yang dihasilkan hingga di sini untuk
cadangan. Kunci apa pun yang dibuat secara otomatis oleh OpenDNSSEC setelah perintah ini tidak
dijamin akan dicadangkan, dan karena itu tidak akan diperhitungkan saat
melakukan kunci yang disiapkan untuk digunakan oleh OpenDNSSEC. Perintah selanjutnya biasanya
antara backup melakukan atau, jika cadangan kunci itu sendiri gagal, backup
rollback. Urutan ini bekerja dengan andal jika KASP Enforcer sedang berjalan. Jika memang
tidak, pencadangan fase tunggal dari backup dilakukan menyediakan cadangan satu fase
alternatif.
backup melakukan --repositori|-r nama
Berhasil mengakhiri prosedur pencadangan kunci dua fase. Setelah cadangan kunci memiliki
berhasil, lepaskan semua kunci yang disiapkan sebelumnya untuk layanan oleh OpenDNSSEC. Setiap
kunci yang dihasilkan sejak persiapan yang dikeluarkan terakhir tidak akan dirilis sebagai
tidak pasti apakah ini benar-benar didukung.
backup rollback --repositori|-r nama
Mengakhiri prosedur pencadangan kunci dua fase yang gagal dengan aman. Setelah pencadangan kunci gagal,
kembalikan semua kunci yang telah disiapkan sebelumnya ke keadaan di mana mereka dihasilkan, tetapi
belum tersedia untuk layanan oleh OpenDNSSEC. Setelah memperbaiki masalah ini, yang baru
upaya untuk membuat cadangan kunci dapat dilakukan.
backup dilakukan --repositori|-r nama [--memaksa]
*DIHAPUS*
Tunjukkan bahwa cadangan dari repositori yang diberikan telah dilakukan, semua tidak dicadangkan
kunci sekarang akan ditandai sebagai dicadangkan. Opsi --repository menentukan apa
repositori ke daftar.
Perhatikan bahwa Penegak KASP dapat mengambil inisiatif untuk menghasilkan kunci setelah
pencadangan telah dimulai dan sebelum pencadangan selesai. Perintah pencadangan fase tunggal ini
mengesampingkan itu, yang aman ketika Penegak KASP tidak berjalan. Jika Anda berniat untuk
tetap menjalankan Enforcer, Anda malah ingin menggunakan dua fase backup
mempersiapkan diikuti oleh backup melakukan or backup rollback.
Database backup [--keluaran|-o keluaran]
Buat salinan database KASP Enforcer (jika menggunakan sqlite). Perintah ini
memastikan bahwa database berada dalam keadaan yang konsisten dengan melakukan penguncian terlebih dahulu. NS
--output option menentukan kemana output harus pergi; jika tidak ditentukan, output
pergi ke file force.db.backup biasa.
PROSES PENGENDALIAN SUB PERINTAH
mulai|berhenti|beri tahu
Mulai, hentikan, atau kirim "SIGHUP" ke proses ods-enforcerd.
KUNCI NEGARA
MENGHASILKAN
Kunci baru saja dibuat, tetapi belum siap digunakan.
MENERBITKAN
Kunci telah diterbitkan di zona induk.
READY Kuncinya siap digunakan. Misal sesuai setting di polis kuncinya sudah
diterbitkan cukup lama untuk disebarkan ke semua resolver.
AKTIF Kuncinya aktif digunakan untuk menandatangani satu atau lebih zona.
RETIRE Kunci telah mencapai akhir dari masa pakai yang dijadwalkan, atau telah diputar
sebelum waktunya. Namun, catatan yang ditandatangani dengannya mungkin masih di-cache sp kuncinya adalah
masih dipublikasikan.
MATI Kuncinya telah dipensiunkan cukup lama sehingga penggunaannya tidak lagi di-cache, jadi itu
telah dikeluarkan dari zona tersebut.
KUNCI JENIS
Kunci dapat terdiri dari dua jenis: KSK atau ZSK. Istilah-istilah ini dijelaskan secara lebih rinci di
bukadnssec(1).
Dalam catatan DNS, KSK biasanya dapat dikenali dengan memiliki SEP (Secure Entry Point)
bendera ditetapkan. Tetapi harap dicatat bahwa secara resmi ini hanyalah petunjuk belaka.
SELANG FORMAT
Saat menentukan interval untuk menjalankan pembuatan kunci, standar ISO 8601 digunakan, mis
P2Y6M selama 2 tahun 6 bulan; atau PT12H30M selama 12 jam 30 menit. Perhatikan bahwa setahun
diasumsikan 365 hari dan satu bulan diasumsikan 31 hari.
WAKTU FORMAT
Saat menentukan waktu pembuatan/pensiun untuk kunci yang diimpor, format berikut:
dipahami:
YYYYMMDD[HH[MM[SS]]]
(semua numerik)
M-MM-YYYY[:| ]HH[:MM[:SS]]
DD-MMM-YYYY[:| ]HH[:MM[:SS]]
YYYY-MMM-DD[:| ]HH[:MM[:SS]]
(bulan abjad)
J-MM-YYYY[:| ]HH[:MM[:SS]]
DD-MM-YYYY[:| ]HH[:MM[:SS]]
YYYY-MM-DD[:| ]HH[:MM[:SS]]
(bulan numerik)
Gunakan ods-ksmutil online menggunakan layanan onworks.net
