זוהי הפקודה ldns-dane שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
ldns-dane - אמת או צור אימות TLS עם DANE (RFC6698)
תַקצִיר
ldns-dane [אופציות] לאמת שם נמל
ldns-dane [אופציות] -t tlsafile לאמת
ldns-dane [אופציות] שם נמל לִיצוֹר
[ שימוש בתעודה [ בורר [ סוג התאמה ] ] ]
ldns-dane -h
ldns-dane -v
תיאור
בצורה הראשונה: חיבור TLS ל שם:נמל הוקמה. משאב TLSA
רשומות עבור שם משמשים לאימות החיבור.
בצורה השנייה: רשומות ה-TLSA נקראות tlsafile ומשמש לאימות ה
שירות TLS שהם מתייחסים אליו.
בצורה השלישית: חיבור TLS ל שם:נמל הוקמה ומשמשת ליצירת ה
רשומות משאב TLSA שיאמתו את החיבור. הפרמטרים עבור TLSA
יצירת rr הם:
שימוש בתעודה:
0 אילוץ CA
1 אילוץ תעודת שירות
2 הצהרת עוגן אמון
3 אישור שהונפק בדומיין (ברירת מחדל)
בורר:
0 תעודה מלאה (ברירת מחדל)
1 SubjectPublicKeyInfo
סוג התאמה:
0 לא נעשה שימוש ב-hash
1 SHA-256 (ברירת מחדל)
2 SHA-512
במקום מספרים ניתן להשתמש באותיות הראשונות של הערך. חוץ מהאש
שם האלגוריתם, שבו יש לציין את השם המלא.
אפשרויות
-4 TLS חיבור IPv4 בלבד
-6 TLS חיבור IPv6 בלבד
-a כתובת
אל תנסה לפתור שם, אבל להתחבר ל כתובת במקום.
אפשרות זו עשויה להינתן יותר מפעם אחת.
-ב הדפסה"שם. TYPE52 \# גודל hexdataטופס " במקום פורמט מצגת TLSA.
-c קובץ אישור
אל תתחבר ל-TLS שם:נמל, אבל לאמת (או ליצור רשומות TLSA) עבור ה
תעודה (שרשרת) ב קובץ אישור במקום.
-ד נניח תוקף DNSSEC גם כאשר רשומות ה-TLSA נרכשו לא מאובטחות או שהיו
מְזוּיָף.
-f CAfile
השתמש CAfile כדי לאמת.
-h הדפס עזרה קצרה לשימוש
-i אינטראקציה לאחר החיבור.
-k קובץ מפתח
ציין קובץ המכיל DNSKEY או DS rr מהימן. מפתח(ים) משמשים כאשר
רודף חתימות (כלומר -S נתון).
אפשרות זו עשויה להינתן יותר מפעם אחת.
לחלופין, אם -k לא צוין, ועוגן אמון ברירת מחדל
(/etc/unbound/root.key) קיים ומכיל רשומת DNSKEY או DS חוקית, היא תהיה
משמש כעוגן האמון.
-n לעשות לֹא אמת את שם השרת בתעודה.
-o לקזז
בעת יצירת רשומת משאב TLSA "הצהרת עוגן אמון", בחר את ה לקזזth
קיזוז תעודה מסוף שרשרת האימות. 0 פירושו האחרון
תעודה, 1 האחד אבל אחרון, 2 השני אבל אחרון וכו'.
מתי לקזז הוא -1 (ברירת המחדל), האישור האחרון משמש (כמו עם 0) כי
חייב להיות חתום בעצמו. זה יכול לעזור לוודא שהמכוון (חתום עצמי)
עוגן אמון קיים למעשה בשרשרת אישורי השרת (שהיא DANE
דְרִישָׁה).
-p CApath
השתמש בתעודות ב- CApath ספרייה לאימות.
-s בעת יצירת רשומות משאבים של TLSA עם ה-"CA Constraint" וה-"Service
שימוש בתעודה של אילוץ אישור, אל תאמת ותניח ש-PKIX כן
תָקֵף.
עבור "CA Constraint" זה אומר שהאימות צריך להסתיים בחתימה עצמית
תעודה.
-S חתימת רדיפה למפתח ידוע.
ללא אפשרות זו, הרשת המקומית מהימנה לספק פותר DNSSEC
(כלומר ביט AD מסומן).
-t tlsafile
קרא רשומות TLSA מ tlsafile. כאשר שם ו נמל ניתנים גם, רק TLSA
רשומות התואמות את שם, נמל ו להעביר משומשים. אחרת שם הבעלים
של רשומות ה-TLSA ישמשו כדי לקבוע שם, נמל ו להעביר.
-T מצב יציאה חוזר 2 עבור חיבורים מאומתים PKIX ללא TLSA (מאובטח).
רשומות
-u השתמש בהובלת UDP במקום TCP.
-v הצג גרסה וצא.
השתמש ב-ldns-dane באינטרנט באמצעות שירותי onworks.net