Ini adalah command zonesignerp yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
zonesigner - Menghasilkan kunci enkripsi dan menandatangani zona DNS
RINGKASAN
penanda zona [opsi]
# memulai segera contoh:
# pertama dijalankan di zona misalnya.com:
zonesigner -genkeys -akhir waktu +2678400 contoh.com
# masa depan berjalan sebelum waktu kedaluwarsa (menggunakan kembali kunci yang sama):
zonesigner -akhir waktu +2678400 contoh.com
DESKRIPSI
Skrip ini menggabungkan menjadi satu perintah banyak tindakan yang diperlukan untuk menandatangani DNS
daerah. Ini menghasilkan kunci KSK dan ZSK yang diperlukan, menambahkan data kunci ke catatan zona
file, menandatangani file zona, dan menjalankan pemeriksaan untuk memastikan bahwa semuanya bekerja dengan benar. Dia
juga menyimpan catatan tentang kunci dan bagaimana zona ditandatangani untuk memfasilitasi re-
penandatanganan zona di masa depan.
penandatangan zona-catatan penandatanganan zona khusus disimpan di keyrec file. Menggunakan keyrec
file, ditentukan dan dikelola oleh DNSSEC-Tools, penandatangan zona dapat secara otomatis mengumpulkan banyak dari
opsi yang digunakan untuk menandatangani dan menghasilkan zona dan kuncinya sebelumnya. Hal ini memungkinkan
zona yang akan dipertahankan menggunakan panjang kunci yang sama dan waktu kedaluwarsa, misalnya,
tanpa administrator perlu melacak bidang ini secara manual.
CEPAT MULAI
Berikut ini adalah contoh yang akan memungkinkan mulai cepat menggunakan penandatangan zona:
pertama kali dijalankan di example.com
Perintah berikut akan menghasilkan kunci dan menandatangani file zona untuk example.com,
memberikan tanggal kedaluwarsa 31 hari ke depan. File zona bernama example.com
dan file zona yang ditandatangani akan diberi nama contoh.com.ditandatangani.
zonesigner -genkeys -akhir waktu +2678400 contoh.com
berjalan selanjutnya di example.com
Perintah berikut akan menandatangani ulang file zona example.com, tetapi tidak akan menghasilkan yang baru
kunci. File dan semua argumen pembuatan kunci dan penandatanganan zona akan tetap
sama.
contoh penanda zona.com
MENGGUNAKAN PENANDA ZONA
penandatangan zona digunakan dengan cara ini:
penanda zona [opsi]
file zona argumen diperlukan.
file zona adalah nama file zona dari mana file zona yang ditandatangani akan dibuat. Jika
itu -daerah pilihan tidak diberikan, maka file zona akan digunakan sebagai nama zona yang
akan ditandatangani. Kunci yang dihasilkan diberi nama ini sebagai basisnya.
Sekali penandatangan zona telah membuat satu set kunci untuk zona dan menandatangani zona, itu dapat digunakan
untuk menandatangani ulang saat file zona berubah. Saat dijalankan tanpa opsi apa pun, penandatangan zona akan
berkonsultasi dengan keyrec zona untuk menemukan set kunci yang sesuai dan kemudian akan menandatangani
zona tertentu dengan mereka.
File zona dimodifikasi menjadi memasukkan perintah, yang akan mencakup KSK dan ZSK
kunci. Baris-baris ini ditempatkan di akhir file dan tidak boleh diubah oleh
pengguna. Jika file zona sudah menyertakan file kunci apa pun, penyertaan tersebut akan dihapus.
Baris-baris ini dibedakan dengan diawali dengan "$INCLUDE" dan diakhiri dengan ".key". Hanya
baris include yang sebenarnya dihapus; setiap baris komentar terkait tidak tersentuh.
File perantara digunakan dalam menandatangani zona. file zona disalin ke perantara
file dan dimodifikasi dalam persiapan penandatanganan file zona. Beberapa baris $INCLUDE akan
ditambahkan di akhir file dan nomor seri SOA akan bertambah.
zona bertanda adalah nama file zona yang ditandatangani. Jika tidak diberikan pada baris perintah,
nama file zona bertanda default adalah file zona ditambahkan dengan ".signed". Dengan demikian,
mengeksekusi penandatangan zona example.com akan menghasilkan zona yang ditandatangani disimpan di
contoh.com.ditandatangani.
Kecuali jika -genkey, -genksk, -genzsk, atau -pubksk baru opsi ditentukan, kunci terakhir
yang dihasilkan untuk zona tertentu akan digunakan di selanjutnya penandatangan zona eksekusi. DS
catatan akan dimasukkan dalam operasi penandatanganan kecuali jika: -nogends opsi digunakan.
penandatangan zona dapat digunakan dengan manajer rollover, seperti digulung, untuk menyediakan otomatis
pengelolaan kawasan, kunci-kuncinya, dan penandatanganan kawasan. Jika sebuah digulung-Dikelola
zonefile berubah saat digulung sedang menunggu rollover zona untuk memulai atau fase rollover
untuk menyelesaikan, penandatangan zona dapat digunakan untuk menandatangani zona dengan set kunci yang tepat; digulung
tidak akan terganggu oleh ini.
KEYREC FILE
keyrec file menyimpan informasi tentang pembuatan kunci dan operasi penandatanganan zona sebelumnya.
Jika keyrec file tidak ditentukan (dengan cara -krfile opsi), lalu default keyrec
berkas digunakan. Jika default ini tidak ditentukan dalam konfigurasi DNSSEC-Tools sistem
file, nama file akan menjadi nama zona yang ditambahkan dengan .krf. Jika -nokrfile.dll pilihannya adalah
diberikan, maka tidak keyrec file akan dikonsultasikan atau disimpan.
Masing-masing keyrec berisi satu set entri "kunci/nilai", satu per baris. Contoh 4 di bawah ini berisi
isi sampel keyrec file.
keyrec file berisi tiga jenis entri: zona keyrecs, atur keyrecs, dan kunci keyrecs.
Daerah keyrecs berisi informasi khusus tentang zona tersebut, seperti jumlah ZSK
digunakan untuk menandatangani zona, waktu akhir untuk zona, dan nama set penandatanganan kunci (nama
set keyrecs.) Setel keyrecs berisi daftar kunci keyrec nama yang digunakan untuk tujuan tertentu,
seperti kunci ZSK saat ini atau kunci ZSK yang diterbitkan. Kunci keyrecs berisi informasi
tentang kunci yang dihasilkan itu sendiri, seperti algoritma enkripsi, panjang kunci, dan kunci
seumur hidup.
Saat zona berlanjut melalui rollover kunci, kunci kriptografi baru akan dibuat untuk
daerah. Berbagai parameter kunci (misalnya, panjang kunci dan algoritma kripto) akan sama
sebagai parameter yang sebelumnya digunakan untuk menghasilkan kunci untuk zona itu. NS mod kunci Command
memungkinkan parameter kunci ini dimodifikasi sesuai kebutuhan. Jika parameter tertentu adalah
berubah, seperti perubahan panjang KSK dari 1024 menjadi 2048, lalu masa depan kunci akan mencerminkan
perubahan itu; kunci saat ini dan masa lalu tidak akan diubah.
Rek kunci File dan RFC5011 KSK Pencabutan
Jika pemrosesan RFC5011 diaktifkan, ada penanganan khusus dari set zona keyrec of
kunci KSK dicabut. Bidang "kskrev" di zona keyrec menunjuk ke satu set keyrec, ditandai
sebagai tipe "kskrev". set ini keyrec, pada gilirannya, menunjuk ke sejumlah himpunan lainnya
keyrecs, yang semuanya juga ditandai sebagai tipe "kskrev". Kelompok semua dicabut
Kunci KSK ditemukan dengan berkonsultasi dengan set anak perusahaan dari set "kskrev" itu keyrecS. Ketika
usia kunci yang dicabut ini melebihi periode pencabutannya, mereka ditandai sebagai
usang ("kskobs"). Jika ini terjadi sebagai bagian dari rollover normal, kunci ini dicabut dan
set keyrecs semua dihapus dari rantai aktif, dicabut keyrecS. Jika ini terjadi pada
kunci yang merupakan bagian dari kumpulan kunci yang lebih besar, kunci tersebut dihapus dari kumpulan penandatanganan itu dan dimasukkan
set penandatanganan barunya sendiri.
ENTROPI
Pada beberapa sistem, penerapan generator angka pseudo-acak membutuhkan:
aktivitas papan ketik. Aktivitas keyboard ini digunakan untuk mengisi buffer di sistem secara acak
pembuat nomor. Jika penandatangan zona muncul digantung, Anda mungkin harus menambahkan entropi ke acak
generator nomor dengan menekan tombol secara acak sampai program selesai. Tampilan ini
pesan dikendalikan oleh entropi_msg parameter file konfigurasi.
MENENTUKAN PILIHAN NILAI
penandatangan zona memeriksa empat tempat untuk menentukan nilai opsi. Dalam urutan menurun dari
diutamakan, tempat-tempat tersebut adalah:
opsi baris perintah
file keyrec
File konfigurasi DNSSEC-Tools
default penanda zona
Masing-masing diperiksa sampai nilai ditemukan. Nilai itu kemudian digunakan untuk itu penandatangan zona
eksekusi dan nilainya disimpan di keyrec file.
Example
Misalnya, panjang KSK memiliki nilai berikut:
-ksklength opsi baris perintah: 8192
file keyrec: 1024
File konfigurasi DNSSEC-Tools: 512
default penanda zona: 2048
Jika semua ada, maka panjang KSK adalah 8192.
Jika -kspanjang opsi baris perintah tidak diberikan, panjang KSK akan menjadi 1024.
Jika panjang KSK tidak diberikan dalam file konfigurasi, itu akan menjadi 8192.
Jika panjang KSK tidak ada di keyrec file atau file konfigurasi, panjang KSK akan
menjadi 8192.
Jika -kspanjang opsi baris perintah tidak diberikan dan panjang KSK tidak ada di
file konfigurasi, itu akan menjadi 1024.
Jika opsi baris perintah tidak diberikan, panjang KSK tidak ada di keyrec file, dan itu
tidak ada dalam file konfigurasi, maka panjang KSK akan menjadi 512.
PILIHAN
Tiga jenis opsi dapat diberikan, berdasarkan perintah yang dimaksudkan.
Perintah-perintah ini adalah dnssec-keygen, dnssec-signzone.dll, dan penandatangan zona.
khusus penanda zona Opsi
-arsip arsip
Direktori arsip kunci. Jika direktori arsip kunci belum ditentukan (pada
baris perintah atau dalam file konfigurasi DNSSEC-Tools) dan -selamat tinggal pilihan adalah tidak
diberikan, maka penandatangan zona akan meninggalkan kunci di direktori saat ini.
Ketika file disimpan ke dalam direktori arsip, nama file yang ada adalah
diawali dengan stempel waktu. Stempel waktu menunjukkan kapan file diarsipkan.
Direktori ini mungkin tidak menjadi direktori root.
-dicabut
Secara eksplisit usang KSK yang saat ini dicabut dan hapus dari set penandatanganan sebelumnya
mengundurkan diri. Ini saling eksklusif dari -tidak dicabut. Jika tidak -dicabut
maupun -tidak dicabut diberikan, maka -dicabut fungsi diasumsikan..
-dsdir
Tentukan direktori untuk menyimpan dssets. Direktori ini akan dibuat jika tidak
ada.
Direktori harus dapat ditulis dan mungkin tidak menjadi direktori root.
-genkey
Hasilkan KSK dan ZSK baru untuk zona tersebut.
-genksk
Hasilkan KSK saat ini baru untuk zona tersebut. Setiap KSK yang ada saat ini akan ditandai sebagai
usang. Jika opsi ini tidak diberikan, KSK terakhir yang dihasilkan untuk zona ini adalah
bekas.
-genzsk
Hasilkan ZSK baru untuk zona tersebut. Secara default, ZSK terakhir dihasilkan untuk zona ini
akan digunakan.
-bantu
Menampilkan pesan penggunaan.
-intermediat
Nama file yang akan digunakan untuk file zona sementara. File zona akan disalin ke ini
file dan kemudian nama kunci ditambahkan.
-direktori kunci
Direktori di mana kunci KSK dan ZSK akan disimpan. Standarnya adalah untuk menyimpan
kunci di direktori di mana penandatangan zona dieksekusi.
Direktori ini mungkin tidak menjadi direktori root.
-krfile
keyrec file untuk digunakan dalam opsi pemrosesan. Lihat halaman manual untuk
Bersih::DNS::SEC::Alat::tooloptions.pm untuk lebih jelasnya tentang file ini.
-ksignset
Nama penandatanganan KSK ditetapkan untuk digunakan. Jika set penandatanganan tidak ada, maka ini
harus digunakan bersama dengan keduanya -genkey or -genksk. Nama mungkin mengandung
alfanumerik, garis bawah, tanda hubung, titik, dan koma.
Nama dapat berisi alfanumerik, garis bawah, tanda hubung, titik, dan koma. NS
nama set penandatanganan default adalah "daerah-tanda-N", di mana daerah adalah zona yang ditandatangani dan
N adalah angka.
If -ksignset tidak ditentukan, maka penandatangan zona akan menggunakan default dan menambah
nomor untuk set penandatanganan berikutnya.
-kskcount
Jumlah kunci KSK yang akan dibuat dan yang digunakan untuk menandatangani zona. Standarnya adalah untuk
menggunakan satu kunci KSK.
-kskdirektori
Direktori di mana kunci KSK akan disimpan. Standarnya adalah menyimpan kunci di
direktori di mana penandatangan zona dieksekusi.
Direktori ini mungkin tidak menjadi direktori root.
-ksklife
Waktu antara rollover KSK. Ini diukur dalam hitungan detik.
-pubksk baru
Hasilkan KSK baru yang Diterbitkan untuk zona tersebut. Setiap KSK yang Diterbitkan yang ada akan ditandai
sebagai usang.
-tidak dicabut
Secara eksplisit matikan KSK usang yang saat ini dicabut dan hapus dari penandatanganan
ditetapkan sebelum mengundurkan diri. Ini saling eksklusif dari -dicabut. Jika tidak
-dicabut maupun -tidak dicabut diberikan, maka -dicabut fungsinya adalah
diasumsikan..
-nokrfile.dll
Tidak keyrec file akan dikonsultasikan atau dibuat.
-norfc5011
Nonaktifkan pencabutan RFC5011 KSK saat menggulir atau mengganti set kunci KSK yang ada. Oleh
bawaan, penandatangan zona melakukan pencabutan RFC5011 KSK dan opsi ini menggantikan ini
perilaku dan pengaturan opsi apa pun dalam keyrec file.
-selamat tinggal
Jangan simpan kunci usang ke direktori arsip kunci. Perilaku default adalah untuk
menyimpan kunci usang.
-tahap
Tentukan opsi rollover berdasarkan fase rollover, bukan menggunakan opsi
menyebutkan tindakan spesifik yang akan dilakukan. Tujuan dari opsi ini adalah untuk membawa
kejelasan dan pemahaman yang lebih besar tentang bagaimana penandatangan zona digunakan dalam proses rollover.
Berikut ini adalah pemetaan antara -tahap pilihan dan pilihan tindakan.
Opsi Berbasis Tindakan Opsi Fase
-fase ksk2 -newpubksk
-fase ksk4 -rollksk
-fase zsk2 -usezskpub
-fase zsk4b -rollzsk
-fase zsk4b (tidak ada opsi)
peringatan: Para -tahap opsi hanya boleh digunakan jika Anda tahu apa yang Anda lakukan.
-rollksk
Memaksa rollover kunci KSK. Kunci KSK saat ini ditandai sebagai Usang dan
Kunci KSK yang diterbitkan ditandai sebagai Saat Ini. Zona tersebut kemudian ditandatangani dengan set baru
Kunci KSK saat ini. Jika zona itu keyrec tidak mencantumkan KSK Saat Ini atau Diterbitkan, dan
pesan kesalahan dicetak dan penandatangan zona menghentikan eksekusi.
zona itu keyrec file diperbarui untuk menunjukkan status kunci baru.
keyrecs dari kunci KSK disesuaikan sebagai berikut:
Kunci KSK saat ini ditandai sebagai Usang.
Kunci KSK yang Diterbitkan ditandai sebagai Saat Ini.
Kunci KSK usang dipindahkan ke direktori arsip.
Jika pemrosesan RFC5011 diaktifkan, maka urutan rollover KSK dimodifikasi sebagai:
berikut:
Kunci KSK saat ini ditandai sebagai Dicabut.
Kunci KSK yang Diterbitkan ditandai sebagai Saat Ini.
Kunci KSK yang dicabut diperiksa untuk melihat apakah masih ada
dalam periode pencabutan mereka. Jika tidak, mereka ditandai
sebagai Usang.
Kunci KSK usang dipindahkan ke direktori arsip.
peringatan: Waktu penggulungan kunci sangat penting. Sangat hati-hati harus diambil saat menggunakan
pilihan ini. Di masa depan, digulung akan mengotomatiskan proses rollover KSK dan mungkin
digunakan untuk menangani aspek manajemen DNSSEC ini dengan aman.
peringatan: Menggunakan -rollksk opsi hanya boleh digunakan jika Anda tahu apa yang Anda lakukan.
peringatan: Ini mungkin sementara metode rollover KSK. Dia mungkin diubah dalam
masa depan.
-rollmgr
Manajer rollover zona. Hal ini menunjukkan bahwa zona tersebut berada di bawah kendali a .
manajer rollover. Jika pengguna ingin menandatangani zona di tengah rollover, tunggu
fase, bidang ini membantu penandatangan zona dan manajer rollover untuk menentukan cara terbaik untuk
menangani operasi penandatanganan zona.
-rollzsk
Memaksa rollover kunci ZSK menggunakan metode Pre-Publish Key Rollover. NS
proses rollover menyesuaikan kunci yang digunakan untuk menandatangani zona yang ditentukan, menghasilkan kunci baru,
menandatangani zona dengan kunci yang sesuai, dan memperbarui keyrec mengajukan. Pra-
Proses Publish Key Rollover dijelaskan dalam Praktik Operasional DNSSEC
dokumen.
Tiga set kunci ZSK digunakan dalam proses rollover: Saat ini, Diterbitkan, dan Baru.
ZSK saat ini adalah yang digunakan untuk menandatangani zona. ZSK yang diterbitkan tersedia
dalam data zona, dan oleh karena itu dalam data zona yang di-cache, tetapi belum digunakan untuk menandatangani
daerah. ZSK baru tidak tersedia dalam data zona atau belum digunakan untuk menandatangani zona, tetapi
menunggu di sayap untuk digunakan di masa depan.
keyrecs dari tombol ZSK disesuaikan sebagai berikut:
Kunci ZSK saat ini ditandai sebagai usang.
Kunci ZSK yang Diterbitkan ditandai sebagai Saat Ini.
Kunci ZSK Baru, jika ada, ditandai sebagai Diterbitkan.
Kumpulan kunci ZSK lainnya dihasilkan, yang akan menjadi
ditandai sebagai kunci ZSK Baru.
Bidang zsklife kunci ZSK yang diterbitkan disalin ke
keyrec kunci ZSK baru.
Kunci ZSK yang sudah usang dipindahkan ke direktori arsip.
Ringkasan cepat dari pengguliran ZSK yang tepat (yang digulung lakukan untuk Anda jika Anda menggunakannya):
- tunggu 2 * maks (TTL di zona)
- jalankan zonesigner menggunakan -usezskpub
- tunggu 2 * maks (TTL di zona)
- jalankan zonesigner menggunakan -rollzsk
- tunggu 2 * maks (TTL di zona)
peringatan: Waktu penggulungan kunci sangat penting. Sangat hati-hati harus diambil saat menggunakan
pilihan ini. digulung mengotomatiskan proses rollover dan dapat digunakan untuk mengambil dengan aman
memperhatikan aspek manajemen DNSSEC ini. Menggunakan -rollzsk pilihan seharusnya hanya
digunakan jika Anda tahu apa yang Anda lakukan.
-showkeycmd
Tampilkan perintah pembuatan kunci yang sebenarnya (dengan opsi dan argumen) yaitu
dieksekusi. Ini adalah bagian kecil dari keluaran verbose level 3.
-tunjukkan tandacmd
Tampilkan perintah penandatanganan zona aktual (dengan opsi dan argumen) yang dijalankan.
Ini adalah bagian kecil dari keluaran verbose level 3.
-hanya tanda
Tandatangani zona tanpa melakukan pembuatan kunci atau operasi rollover kunci. NS
kunci yang digunakan paling baru penandatangan zona penandatanganan zona ini akan menjadi kunci yang digunakan untuk
penandatanganan ini.
-tanda tangan
Nama set penandatanganan ZSK untuk digunakan sebagai set penandatanganan ZSK saat ini. Zonanya adalah
ditandatangani dan set penandatanganan yang diberikan menjadi set penandatanganan ZSK saat ini yang baru di zona tersebut. Jika
set penandatanganan tidak ada, maka ini harus digunakan bersama dengan keduanya
-genkey or -genzsk.
Nama dapat berisi alfanumerik, garis bawah, tanda hubung, titik, dan koma. NS
nama set penandatanganan default adalah "daerahtanda-N", di mana daerah adalah zona yang ditandatangani dan N
adalah angka.
If -tanda tangan tidak ditentukan, maka penandatangan zona akan menggunakan default dan menambah
nomor untuk set penandatanganan berikutnya.
-ambang
Tandatangani zona jika kondisi ambang terpenuhi. Tergantung pada bagaimana ambang batasnya
ditentukan, mungkin relatif terhadap terakhir kali zona ditandatangani atau dengan zona itu
tanggal habis tempo.
ambang-waktu adalah nilai ambang, diberikan sebagai nilai numerik, dengan unit opsional
penentu. Satuannya bisa 's', 'm', 'h', atau 'd', untuk detik, menit, jam, atau
hari. Jika unit tidak diberikan, maka nilainya dalam detik. Nilai ambang batas
harus memiliki awalan '-' atau awalan '+' untuk menunjukkan ambang mana yang harus
ukuran. Nilai ambang batas +10h mengacu pada sepuluh hari sebelum kedaluwarsa zona
tanggal.
Jika awalan '-' digunakan, maka zona akan ditandatangani kembali jika penandatangan zona dieksekusi
tidak lebih dari ambang-waktu setelah terakhir kali zona itu ditandatangani. ambang-waktu
ditentukan dengan mengurangkan nilai ambang dari tengah malam yang akan datang. Jika ini
akan menempatkan waktu ambang di masa depan, maka dihitung dari saat ini
waktu.
Jika awalan '+' digunakan, maka zona akan ditandatangani kembali jika penandatangan zona dieksekusi
tidak lebih dari ambang-waktu sebelum tanggal kedaluwarsa zona. ambang-waktu is
ditentukan dengan mengurangkan nilai ambang dari tengah malam sebelumnya. Jika ini
akan menempatkan ambang-waktu di masa lalu, maka dihitung dari waktu sekarang.
-gunakan keduanya
Gunakan Arus yang ada dan Menerbitkan ZSK untuk menandatangani zona.
-usezskpub
Gunakan ZSK yang Diterbitkan yang ada untuk menandatangani zona.
-Versi: kapan
Tampilkan informasi versi untuk penandatangan zona dan paket DNSSEC-Tools.
-verbose
Output verbose akan diberikan. Sebagai lebih banyak contoh dari -verbose diberikan pada perintah
baris, tingkat verbositas tambahan tercapai.
keluaran tingkat
----- ------
1 operasi sedang dilakukan
(misalnya, menghasilkan file kunci, zona penandatanganan)
2 detail tentang operasi dan beberapa hasil operasi
(misalnya, nama kunci baru, nomor seri zona)
3 parameter operasi dan detail tambahan
(misalnya, panjang kunci, algoritma enkripsi,
perintah yang dieksekusi)
Tingkat verbositas yang lebih tinggi bersifat kumulatif. Menentukan dua contoh dari -verbose akan
mendapatkan output dari tingkat output pertama dan kedua.
-xc Tampilkan pesan yang terkait dengan a penandatangan zona nilai keluar. Opsi ini dimaksudkan
untuk digunakan oleh program-program yang menginginkan penandatangan zona untuk berjalan diam-diam, tetapi perlu a
deskripsi mengapa penandatangan zona telah keluar dengan kesalahan.
Berikut ini adalah kode keluar dan pesan terkaitnya.
0 - eksekusi sukses
1 - -rfc5011 dan -norfc5011 tidak dapat ditentukan bersama-sama
2 - -droprevoked dan -nodroprevoked tidak dapat ditentukan bersama-sama
3 - -keydirectory dan -kskdirectory tidak dapat ditentukan bersama-sama
4 - -keydirectory dan -zskdirectory tidak dapat ditentukan bersama-sama
5 - Hitungan KSK harus positif
6 - Hitungan ZSK harus positif
7 - tidak ada direktori arsip kunci yang ditentukan
8 - direktori arsip kunci bukan direktori
9 - direktori arsip kunci tidak boleh /
10 - -savekeys dan -nosave mungkin tidak ditentukan bersama-sama
11 - direktori KSK atau ZSK salah ditentukan
12 - baik direktori KSK tertentu atau ZSK tertentu bukan direktori
13 - baik direktori KSK maupun ZSK mungkin bukan direktori root
14 - file zona, file output, dan file perantara semuanya harus memiliki nama yang berbeda
15 - file zona tidak ada
16 - file zona kosong
17 - file zona sudah ditandatangani
18 - set penandatanganan yang ditentukan tidak ada
19 - set penandatanganan ZSK saat ini yang ditentukan tidak ada
20 - set penandatanganan ZSK yang Diterbitkan yang ditentukan tidak ada
21 - nama set penandatanganan baru yang ditentukan sudah ada
22 - set penandatanganan KSK yang ditentukan sudah ada
23 - tidak ada set penandatanganan KSK yang ditentukan
24 - set penandatanganan KSK saat ini yang ditentukan tidak ada
25 - set penandatanganan KSK yang diterbitkan yang ditentukan tidak ada
26 - tidak dapat membuat file kunci KSK
27 - keyrec ZSK tidak ada di file keyrec
28 - tidak dapat membuat file kunci ZSK
29 - tidak dapat mengarsipkan kunci karena direktori arsip kunci bukan direktori
30 - Repositori KSK bukan direktori
31 - Repositori ZSK bukan direktori
32 - tidak dapat memperbarui nomor seri di zonefile
33 - konten modifikasi file zona kosong
34 - tidak dapat masuk zona
35 - tidak ada KSK yang Diterbitkan telah dibuat
36 - zona tidak memiliki ZSK yang Diterbitkan untuk dialihkan ke ZSK Saat Ini
37 - tidak ada kunci yang ditentukan untuk set penandatanganan tertentu untuk zona
38 - tidak ada keyrec untuk set penandatanganan yang diperlukan
39 - kesalahan dalam file keyrec -- keyrec set penandatanganan tertentu bukan set keyrec
40 - set penandatanganan yang ditentukan tidak mengandung kunci apa pun
41 - tidak ada keyrec kunci untuk kunci tertentu
42 - keyrec dari kunci yang ditentukan memiliki tipe yang tidak terduga
43 - pesan penggunaan dicetak
44 - kode keluar yang tidak valid diberikan ke -xc
45 - zona centang bernama mengembalikan kesalahan
46 - tidak dapat membuat direktori arsip dsset
47 - direktori arsip dsset bukan direktori
48 - direktori arsip dsset tidak dapat ditulis
49 - direktori arsip dsset tidak boleh /
50 - ambang batas tidak valid
51 - tanggal akhir format tidak valid
Pesan kesalahan akan dicetak jika kode keluar yang diberikan tidak valid.
-Cthulhu
Opsi ini hanya untuk penggunaan internal dan tidak boleh digunakan oleh pengguna. Jika ini
peringatan diabaikan, maka kengerian eldritch yang tidak terdefinisi dan tidak dapat disebutkan namanya dapat dikunjungi
file zona Anda. Jangan gunakan.
-daerah
Nama zona yang akan ditandatangani. Nama zona ini dapat diberikan dengan opsi ini atau
sebagai argumen baris perintah non-opsi pertama. Dalam kasus kedua, jika argumen
berisi pemisah direktori, maka elemen terakhir dari jalur akan digunakan untuk
nama zona.
-zskcount
Jumlah kunci ZSK yang akan dibuat dan yang digunakan untuk menandatangani zona. Standarnya adalah untuk
menggunakan satu kunci ZSK.
-zskdirektori
Direktori di mana kunci ZSK akan disimpan. Standarnya adalah menyimpan kunci di
direktori di mana penandatangan zona dieksekusi.
Direktori ini mungkin tidak menjadi direktori root.
-zsklife
Waktu antara rollover ZSK. Ini diukur dalam hitungan detik.
dnssec-keygen-spesifik Opsi
-algoritma
Algoritma kriptografi yang digunakan untuk menghasilkan kunci zona. Nilai defaultnya adalah
RSASHA1. Nilai opsi diteruskan ke dnssec-keygen sebagai -a bendera. Berkonsultasi dnssec-
keygenhalaman manual untuk menentukan nilai hukum.
-kgopts
Opsi tambahan untuk dnssec-keygen dapat ditentukan menggunakan opsi ini. NS
opsi tambahan dilewatkan sebagai nilai string tunggal sebagai argumen ke -kgopts
.
-kspanjang
Panjang bit kunci KSK zona. Standarnya adalah 2048.
-nsec3memilih keluar
Ketika bendera ini dan -usec3 bendera diatur, zona akan ditandatangani menggunakan Opt-
Dukungan keluar dijelaskan dalam RFC5155. Ringkasan singkatnya adalah bahwa hanya sub-domain dengan valid
DS atau kunci publik yang tersedia akan ditandatangani dan sisanya tidak. Ini sangat
mengurangi kebutuhan komputasi dan memori dari zona yang sangat besar dengan banyak
dari anak-anak yang tidak bertanda tangan.
-acak
Sumber keacakan yang digunakan untuk menghasilkan kunci zona. Ini dianggap sebagai file,
misalnya / dev / urandom.
-usec3
Menandatangani zona menggunakan NSEC3 (lihat RFC5155) catatan bukti-ketidakberadaan daripada
NSEC catatan. Kunci yang digunakan untuk menandatangani zona harus mendukung penggunaan NSEC3 atau lainnya
penandatanganan zona akan gagal. Zonesigner akan secara otomatis membuat kunci baru dari
jenis yang benar jika salah satu dari -genkey atau opsi serupa digunakan.
-zskpanjang
Panjang bit kunci ZSK zona. Standarnya adalah 1024.
dnssec-signzone-khusus Opsi
-akhir waktu
Waktu saat zona kedaluwarsa, yang diukur dari waktu saat ini. Jika diberikan sebagai angka,
itu hitungan detik. Jika diberikan sebagai angka diikuti oleh 's', 'm', 'h', atau
'd', maka itu adalah jumlah detik, menit, jam, atau hari. Nilai defaultnya adalah
2764800 detik (32 hari.)
-gender
kekuatan dnssec-signzone.dll untuk menghasilkan catatan DS untuk zona tersebut. Opsi ini diterjemahkan
ke -g ketika diteruskan ke dnssec-signzone.dll.
Opsi ini sudah usang. Catatan DS dihasilkan secara default. Menggunakan -nogends
pilihan jika catatan DS tidak harus dibuat.
-ksdir
Tentukan direktori untuk menyimpan keyset. Ini diteruskan ke dnssec-signzone.dll sebagai -d
.
-nogends
Mencegah dnssec-signzone.dll dari menghasilkan catatan DS untuk zona tersebut.
-szopts
Opsi tambahan untuk dnssec-signzone.dll dapat ditentukan menggunakan opsi ini. NS
opsi tambahan dilewatkan sebagai nilai string tunggal sebagai argumen ke -szopts
.
Nilai default untuk opsi ini adalah "-i lokal", atur di default.pm. Nilai ini memiliki
telah ditemukan untuk sangat meningkatkan jumlah waktu yang dibutuhkan bernama-zona centang untuk berlari.
Lainnya Opsi
-zkopts
Opsi tambahan untuk bernama-zona centang dapat ditentukan menggunakan opsi ini. NS
opsi tambahan dilewatkan sebagai nilai string tunggal sebagai argumen ke -zkopts
.
CONTOH
Contoh 1.
Dalam contoh pertama, yang sudah ada keyrec file digunakan untuk membantu dalam menandatangani example.com
domain. Data zona disimpan di example.com, dan keyrec ada di contoh.krf. Akhir
file zona yang ditandatangani akan menjadi db.example.com.ditandatangani. Menggunakan eksekusi ini:
# zonesigner -krfile example.krf example.com db.example.com.signed
file berikut dibuat:
Kexample.com.+005+45842.pribadi
Kecontoh.com.+005+45842.kunci
Kexample.com.+005+50186.pribadi
Kecontoh.com.+005+50186.kunci
Kexample.com.+005+59143.pribadi
Kecontoh.com.+005+59143.kunci
dsset-contoh.com.
keyset-contoh.com.
db.example.com.ditandatangani
Enam file pertama adalah kunci KSK dan ZSK yang diperlukan untuk zona tersebut. Dua file berikutnya
dibuat oleh proses penandatanganan zona. File terakhir adalah file zona terakhir yang ditandatangani.
Contoh 2.
Dalam contoh kedua, yang sudah ada keyrec file digunakan untuk membantu dalam menandatangani
domain contoh.com. Data zona disimpan di example.com, dan keyrec ada di
contoh.krf. Kunci yang dihasilkan, file zona perantara, dan file zona akhir yang ditandatangani
akan menggunakan example.com sebagai basis. Menggunakan eksekusi ini:
# zonesigner -krfile contoh.krf -contoh menengah.zs contoh.com
file berikut dibuat:
Kdb.contoh.com.+005+12354.key
Kdb.contoh.com.+005+12354.pribadi
Kdb.contoh.com.+005+82197.key
Kdb.contoh.com.+005+82197.pribadi
Kdb.contoh.com.+005+55888.key
Kdb.contoh.com.+005+55888.pribadi
dsset-db.contoh.com.
keyset-db.example.com.
contoh.zs
contoh.com.ditandatangani
Enam file pertama adalah kunci KSK dan ZSK yang diperlukan untuk zona tersebut. Dua file berikutnya
dibuat oleh proses penandatanganan zona. File terakhir kedua adalah file perantara
yang akan ditandatangani. File terakhir adalah file adalah zona terakhir yang ditandatangani.
Contoh 3.
Dalam contoh ketiga, tidak keyrec file ditentukan untuk penandatanganan example.com
domain. Selain file yang dibuat seperti yang ditunjukkan pada contoh sebelumnya, file baru keyrec file adalah
dibuat. Yang baru keyrec file menggunakan nama domain sebagai basisnya. Menggunakan eksekusi ini:
# contoh penanda zona.com db.contoh.com
pengikut keyrec file dibuat:
contoh.com.krf
File zona yang ditandatangani dibuat di:
db.contoh.com
Contoh 4.
Contoh ini menunjukkan keyrec file yang dihasilkan oleh penandatangan zona.
Perintah yang dijalankan adalah:
# contoh penanda zona.com db.contoh.com
Yang dihasilkan keyrec file berisi enam keyrecs: sebuah zona keyrec, dua set keyrecs, satu KSK
keyrec, dan dua ZSK keyrecs.
zona "contoh.com"
file zona "contoh.com"
zona bertanda "db.example.com"
akhir waktu "+2764800"
kskcur "example.com.signset-24"
direktori ksk "."
zskcur "example.com.signset-42"
zskpub "contoh.com.signset-43"
direktori zsk "."
keyrec_type "zona"
keyrec_signsecs "1115166642"
keyrec_signdate "Rabu 4 Mei 00:30:42 2005"
setel "example.com.signset-24"
nama zona "contoh.com"
kunci "Kexample.com.+005+24082"
keyrec_setsecs "1110000042"
keyrec_setdate "Sab 5 Mar 05:20:42 2005"
setel "example.com.signset-42"
nama zona "contoh.com"
kunci "Kexample.com.+005+53135"
keyrec_setsecs "1115166640"
keyrec_setdate "Rabu 4 Mei 00:30:40 2005"
setel "example.com.signset-43"
nama zona "contoh.com"
kunci "Kexample.com.+005+13531"
keyrec_setsecs "1115166641"
keyrec_setdate "Rabu 4 Mei 00:30:41 2005"
kunci "Kexample.com.+005+24082"
nama zona "contoh.com"
keyrec_type "kskcur"
algoritma "rsasha1"
acak "/ dev/urandom"
keypath "./Kexample.com.+005+24082.key"
ksklength "2048"
ksklife "15768000"
keyrec_gensecs "1110000042"
keyrec_gendate "Sab 5 Mar 05:20:42 2005"
kunci "Kexample.com.+005+53135"
nama zona "contoh.com"
keyrec_type "zskcur"
algoritma "rsasha1"
acak "/ dev/urandom"
keypath "./Kexample.com.+005+53135.key"
zsklength "1024"
zsklife "604800"
keyrec_gensecs "1115166638"
keyrec_gendate "Rabu 4 Mei 00:30:38 2005"
kunci "Kexample.com.+005+13531"
nama zona "contoh.com"
keyrec_type "zskpub"
algoritma "rsasha1"
acak "/ dev/urandom"
keypath "./Kexample.com.+005+13531.key"
zsklength "1024"
zsklife "604800"
keyrec_gensecs "1115166638"
keyrec_gendate "Rabu 4 Mei 00:30:38 2005"
CATATAN
1. Satu Zona di keyrec File
Ada bug dalam kode set penandatanganan yang mengharuskan hanya menyimpan satu zona di a
keyrec file.
2. Nomor Seri SOA
Nomor seri dalam catatan SOA hanya bertambah dalam versi ini. Rencana masa depan
adalah untuk memungkinkan manipulasi nomor seri yang lebih fleksibel.
HAK CIPTA
Hak Cipta 2004-2014 SPARTA, Inc. Semua hak dilindungi undang-undang. Lihat file MENYALIN yang disertakan dengan
paket DNSSEC-Tools untuk detailnya.
Gunakan zonesignerp online menggunakan layanan onworks.net
