To jest polecenie ods-ksmutil, które można uruchomić w darmowym dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
ods-ksmutil - Strefa OpenDNSSEC i zarządzanie kluczami
STRESZCZENIE
ods-ksmutil ustawienie
ods-ksmutil [ początek | Zatrzymaj się | powiadom ]
ods-ksmutil aktualizacja [ kaspia | lista stref | conf | cała kolekcja ]
ods-ksmutil strefa [ Dodaj | usunąć | podstęp ] ...
ods-ksmutil lista stref [ importować | eksport ]
ods-ksmutil klucz [ Generować | importować | eksport | podstęp | oczyścić | refinansowanie | ksk-emerytura |
ds-widoczne | usunąć ] ...
ods-ksmutil refinansowanie podstęp ...
ods-ksmutil polityka [ eksport | importować | oczyścić ] ...
ods-ksmutil składnica podstęp ...
ods-ksmutil backup [ podstęp | przygotować | popełnić | rollback | zrobić ]
ods-ksmutil baza danych backup ...
OPIS
ods-ksmutil zarządza pracą modułu KASP Enforcer, który jest częścią OpenDNSSEC
który wyzwala operacje generowania i podpisywania kluczy w domenach na podstawie zasad z
zdefiniowane przez użytkownika wymagania dotyczące czasu i bezpieczeństwa. Ponieważ wszystko poza tym zarządzaniem
użyteczność jest zwykle automatyczna, ods-ksmutil jest podstawowym narzędziem do zarządzania OpenDNSSEC.
Wśród funkcji ods-ksmutil to zarządzanie kluczami, aktualizacje listy stref i
ręczne przewijanie kluczy w celu odzyskania sprawności po wyjątkowych sytuacjach, takich jak utrata klucza.
Aby rozpocząć, pierwsze wywołanie ods-ksmutil ustawienie jest potrzebne; patrz KONFIGURACJA I AKTUALIZACJA
KOMENDY poniżej, aby uzyskać szczegółowe informacje. Po wykonaniu tej czynności reszta funkcjonalności programu
ods-ksmutil będzie dostępny.
W poniższych sekcjach omówiono polecenia podrzędne w grupach logicznych, wyszczególniając wszelkie opcje
które wspierają.
RODZAJOWY OPCJE
-c plik konfiguracyjny, --konfig plik konfiguracyjny
Zmień używany plik conf.xml z domyślnego.
pomoc Może to być użyte jako podpolecenie do ods-ksmutil lub może być używany po częściowym
podkomenda. W odpowiedzi, ods-ksmutil poda streszczenie, jak kontynuować
dowództwo.
-V, --wersja
Wyświetl numer wersji
USTAWIAĆ ROLNICZE Aktualizacja PODPOLECENIA
ustawienie Importuj conf.xml, kasp.xml i zonelist.xml do bazy danych. Spowoduje to usunięcie dowolnego
aktualne informacje zarządcze z bazy danych z zarządzaniem OpenDNSSEC
informacje, w tym wszelkie odniesienia do kluczy. Aktualizacje istniejącej konfiguracji powinny
dlatego normalnie nie uruchamiaj tego podkomendy, ale aktualizacja zamiast.
aktualizacja kaspia
aktualizacja lista stref
aktualizacja conf
aktualizacja cała kolekcja
Zaktualizuj bazę danych zawartością odpowiedniego pliku konfiguracyjnego lub wszystkimi
te pliki. Wynik jest porównywalny z ustawienie podpolecenie, z wyjątkiem tego
informacje dotyczące zarządzania OpenDNSSEC nie są usuwane. (Należy również pamiętać, że aktualizacja kasp
nie usuwa żadnych zasad z bazy danych, do ich usunięcia można użyć zasady przeczyszczania
niewykorzystane polisy).
STREFA ZARZĄDZANIE PODPOLECENIA
strefa Dodaj --strefa|-z strefa [--polityka|-str Nazwa] [--w-typie|-j rodzaj] [--typ-out|-q rodzaj]
[--wejście|-i wkład] [--wyjście|-o wydajność] [--nie-xml]
Dodaj strefę zarówno do pliku zonelist.xml, jak i do bazy danych. Jest to równoważne z ręcznym
edycja zonelist.xml, a następnie uruchomienie pliku aktualizacja lista stref podkomenda. Strefa
opcja nazywa strefę do dodania; Opcja --policy określa politykę, która ma być używana zamiast tego
niewypłacalności; --in-type i --out-type określają typ wejścia i wyjścia
adaptery (powinny to być DNS lub Plik, domyślnie Plik); --input opcja określa a
niestandardowa lokalizacja dla strefy bez znaku (domyślnie to
/var/lib/opendnssec/unsigned/ZONE) lub plik wejściowy DNS (domyślnie to
/etc/opendnssec/addns.xml); opcja --output określa niestandardową lokalizację
dla podpisanej strefy (domyślnie /var/lib/opendnssec/signed/ZONE) lub wyjścia DNS
plik (domyślnie jest to /etc/opendnssec/addns.xml). Flaga --no-xml zatrzymuje plik
plik zonelist.xml przed aktualizacją. Jest to odpowiednie dla trybu wsadowego, w którym ty
doda wiele stref, a następnie po prostu napisze zonelist raz na końcu.
strefa usunąć --strefa|-z Nazwa [--nie-xml]
strefa usunąć --wszystko|-a
Usuń jedną strefę (lub odpowiednio wszystkie strefy) zarówno z pliku zonelist.xml, jak i pliku
Baza danych. Jest to równoznaczne z ręcznym edytowaniem pliku zonelist.xml, a następnie uruchomieniem pliku
aktualizacja lista stref podkomenda. Flaga --no-xml zatrzymuje plik zonelist.xml
aktualizowany. Jest to odpowiednie dla trybu wsadowego, w którym usuniesz wiele
zones, a następnie po prostu napisz zonelist raz na końcu.
strefa podstęp
Wyświetl listę stref z pliku zonelist.xml. TODO:Nie z bazy danych?
lista stref eksport
Eksportuj listę stref z bazy danych w tym samym formacie co zonelist.xml
lista stref importować
Zsynchronizuj bazę danych z zawartością zonelist.xml; identyczny z „aktualizacja
lista stref"
KEY ZARZĄDZANIE PODPOLECENIA
klucz Generować --polityka|-str Nazwa --interwał|-n interwał [--zonetotal|-Z strefacałkowita]
Utwórz wystarczającą liczbę kluczy, aby nazwane zasady działały przez okres czasu podany przez
interwał. Zobacz FORMAT INTERWAŁÓW, aby zapoznać się z formatem specyfikacji taktowania.
W przypadku skonfigurowania OpenDNSSEC automatycznie utworzy klucze, gdy zajdzie taka potrzeba.
To polecenie może służyć do wstępnego generowania kluczy (być może na oczekiwany czas życia pliku
HSM), aby pomóc w tworzeniu zasad tworzenia kopii zapasowych. Jest to również wygodna metoda wstępnego generowania
zestaw kluczy, aby umożliwić witrynie odzyskiwania po awarii posiadanie kopii kluczy bez
potrzebne do synchronizacji kluczy generowanych w locie.
Domyślnie komenda generuje klucze dla wszystkich stref znalezionych na podanej
polityka. Jeśli określono opcjonalny parametr --zonetotal, klucze będą
generowane dla tej łącznej liczby stref, niezależnie od tego, ile ich faktycznie jest
obecnie na polisie.
klucz importować --algorytm|-g nazwa_alg --bity|-b Bity --repozytorium|-r repo --cka_id|-k ok
--strefa|-z strefa --typ klucza|-t rodzaj --stan klucza|-e były --czas|-w czas [--sprawdź-repozytorium|-C
sprawdź repozytorium] [--emerytura|-y czas]
Dodaj klucz, który został utworzony poza kodem OpenDNSSEC do bazy danych. W
w ten sposób dalsze szczegóły związane z zarządzaniem kluczami muszą zostać określone w
opcje.
Opcja --algorithm nazywa algorytm używany z tym kluczem; --bits określa
siłę tego algorytmu jako rozmiar klucza w bitach.
Opcja --repository określa repozytorium, w którym ma być przechowywany klucz; the
Opcja --cka_id określa nazwę, która będzie używana do identyfikacji tego klucza w tym
magazyn; opcja --zone określa strefę, dla której ma być użyty ten klucz;
opcja --keytype określa, czy ten klucz powinien służyć jako KSK czy ZSK.
Zobacz TYPY KLUCZY poniżej, aby zapoznać się z wprowadzeniem do tych warunków.
Opcja --keystate określa stan, w jakim klucz będzie po imporcie,
i musi być jedną z opcji zdefiniowanych w sekcji KLUCZOWE STANY poniżej. czas
opcja określa czas utworzenia tego klucza; opcja --check-repository
określono, że import klucza powinien zakończyć się niepowodzeniem, jeśli nie ma klucza pasującego do określonego
cka_id istnieje w repozytorium. opcja --retire określa czas, w którym to nastąpi
klucz powinien być wycofany. Te dwie ostatnie opcje przyjmują formaty podane w CZASIE
Sekcja FORMATY poniżej.
klucz eksport --strefa|-z Nazwa [--stan klucza|-e były] [--typ klucza|-t rodzaj] [-- ds]
klucz eksport --wszystko [--stan klucza|-e były] [--typ klucza|-t rodzaj] [-- ds]
Wyeksportuj klucze dla określonej strefy lub odpowiednio dla wszystkich stref z pliku
Baza danych. Opcji --ds można użyć do pobrania rekordów DS w celu przesłania ich do pliku a
rejestr zamiast pełnego klucza; opcji --keystate można użyć do ograniczenia
wyjście do kluczy w zadanym stanie; opcji --keytype można użyć do ograniczenia
wyjście do kluczy danego typu. Zobacz KEY TYPY i KEY PAŃSTWA działy poniżej
dla a specyfikacja of możliwy typy i stany kluczy.
klucz podstęp [--strefa Nazwa] [--gadatliwy] [--stan klucza|--wszystko|-e były|-a] [--typ klucza rodzaj|-t rodzaj]
Wyświetl informacje o kluczach we wszystkich strefach lub w określonej strefie. Domyślnie klucze
w stanie GENERATE i DEAD nie są wyświetlane.
Opcja --verbose służy do wyświetlania dodatkowych informacji o każdym kluczu.
Opcji --keystate można użyć do ograniczenia danych wyjściowych do kluczy w danym stanie. Jeśli
używana jest opcja --all, wtedy są używane klucze we wszystkich stanach (w tym GENERATE i DEAD).
wystawiany. Opcja --keytype może być użyta do ograniczenia danych wyjściowych do kluczy danego
rodzaj. Zobacz KEY TYPY i KEY PAŃSTWA działy poniżej dla a specyfikacja of
możliwy typy i stany kluczy.
klucz oczyścić --strefa|-z Nazwa
klucz oczyścić --polityka|-str Nazwa
Usuń wszystkie klucze w stanie Dead z repozytorium i bazy danych
Egzekutor KASP. Opcje --zone i --policy służą do ograniczenia tej operacji do
odpowiednio pojedynczą nazwaną strefę lub politykę.
klucz refinansowanie --strefa|-z Nazwa --typ klucza rodzaj|-t rodzaj
klucz refinansowanie --strefa|-z Nazwa --wszystko|-a
klucz refinansowanie --polityka|-str Nazwa --typ klucza rodzaj|-t rodzaj
klucz refinansowanie --polityka|-str Nazwa --wszystko|-a
Przenieś aktywne klucze odpowiednio do nazwanej strefy lub zasad. To polecenie jest
używane do inicjowania ręcznych najazdów; jeśli nie zostanie podany, OpenDNSSEC zrobi to automatycznie
klawisze przewijania, gdy zajdzie taka potrzeba. (Lub, w przypadku KSK, rozpocznie się
proces rolowania, aby zakończyć rolowanie KSK, patrz ksk-roll poniżej.)
Opcja --keytype określa typ klucza do wylosowania. Alternatywnie --all
można użyć opcji, która wyrzuci oba typy kluczy. Po uruchomieniu KASP
Enforcer zostanie obudzony, aby sygnatariusz mógł otrzymać nowe informacje.
Jeśli zasady, w których znajduje się strefa, określają, że klucze są udostępniane, wszystkie strefy są włączone
ta polityka zostanie wprowadzona. W razie potrzeby wykonywana jest kopia zapasowa pliku sqlite DB.
Jeśli nie ma gotowych kluczy do przejęcia z bieżącego klucza, nastąpi rolowanie
nie nastąpi natychmiast, ale zostanie odłożone, dopóki klucz nie będzie w stanie gotowości.
klucz ksk-emerytura --strefa|-z strefa
klucz ksk-emerytura --znacznik klucza|-x znacznik klucza
klucz ksk-emerytura --cka_id|-k ok
Wskaż OpenDNSSEC, że aktualnie aktywny klucz powinien zostać wycofany. Jeśli klucz
identyfikatory nie zostaną podane, najstarszy klucz w strefie zostanie wycofany.
Jeśli tylko jeden klucz jest w stanie aktywnym, to polecenie zakończy się z błędem
wiadomość, ponieważ ukończenie nie pozostawiłoby żadnych aktywnych kluczy.
klucz ds-widoczne --strefa|-z strefa --znacznik klucza|-x znacznik klucza [--nie-powiadomienia|-l] [--nie-rezygnacja|-f]
klucz ds-widoczne --strefa|-z strefa --cka_id|-k ok [--nie-powiadomienia|-l] [--nie-rezygnacja|-f]
Wskaż OpenDNSSEC, że przesłany rekord DS pojawił się w strefie nadrzędnej,
i tym samym wywołać ukończenie rolowania KSK. Zauważ, że ta akcja nie jest
jeszcze ustandaryzowane i dlatego nie można ich rozwiązać w ogólny, automatyczny sposób.
To polecenie zostało zaprojektowane do włączenia do dowolnej spersonalizowanej konfiguracji, która może lub może
nie być zautomatyzowany.
Istnieje kilka sposobów określenia, który DS znajduje się w DNS, a opcje odzwierciedlają to
alternatywy. Opcja --keytag określa krótką liczbę całkowitą, która służy jako a
uchwyt DNSSEC do klucza; opcja --cka_id odnosi się do klucza poprzez jego długość
szesnastkowy identyfikator używany do identyfikacji klucza w repozytorium.
Można również przekazać opcjonalną flagę --no-notify, która uniemożliwia modułowi wymuszającemu
poinformowaniu o tej zmianie. Jeśli ta flaga jest używana, moduł egzekwujący musi być
ręcznie powiadomiony za pomocą polecenia „ods-enforcerd notify”, w przeciwnym razie zmiany nie zostaną zgłoszone
obowiązywać do następnego zaplanowanego uruchomienia modułu egzekwującego.
Można również przekazać opcjonalną flagę --no-retire, bez tego istniejącego klucza
zostaje przeniesiony do stanu wycofania w tym samym czasie co uaktywnienie nowego klucza. Jeśli
chcesz opóźnić ten krok, podaj tę flagę i użyj komendy ksk-retire
kiedy był potrzebny.
klucz usunąć --cka_id|-k ok [--nie-hsm]
Usuń nazwany klucz z systemu.
Klucze w stanie GENERUJĄCYM lub MARTWYM można bezpiecznie usunąć z systemu w miarę ich powstawania
nie są używane.
Można podać flagę --no-hsm, jeśli chcesz pozostawić materiał klucza w HSM.
refinansowanie podstęp
Podaj przewidywane daty i godziny nadchodzących przeniesień. Można to wykorzystać do zdobycia
pomysł nadchodzących prac, takich jak niestandardowe składanie akt DS do
rejestr.
POLITYKA ADMINISTRACJA PODPOLECENIA
polityka eksport [--polityka|--wszystko|-p|-a]
Wyeksportuj politykę z bazy danych w tym samym formacie co plik kasp.xml.
polityka importować
Zaktualizuj bazę danych o zawartość kasp.xml; identyczny z „aktualizuj kasp”.
polityka oczyścić
* Eksperymentalny *
Usuń wszystkie zasady, z którymi nie są powiązane żadne strefy. Zauważ, że to
Polecenie zostało przetestowane tylko w środowisku laboratoryjnym, dlatego zaleca się ostrożność.
MAGAZYN ROLNICZE BACKUP PODPOLECENIA
składnica podstęp
Lista repozytoriów z bazy danych.
backup podstęp --repozytorium|-r Nazwa
Lista kopii zapasowych, które zostały wykonane w danym repozytorium. --repozytorium
opcja określa, które repozytorium wyświetlić.
backup przygotować --repozytorium|-r Nazwa
Rozpocznij dwufazową procedurę tworzenia kopii zapasowej klucza. Przygotuj klucze wygenerowane do tej pory
kopia zapasowa. Żadne klucze generowane automatycznie przez OpenDNSSEC po tym poleceniu nie są
gwarantowana kopia zapasowa i dlatego nie będą brane pod uwagę, kiedy
przekazanie przygotowanych kluczy do użytku przez OpenDNSSEC. Następne polecenie jest zwykle
bądź backup popełnić lub, w przypadku awarii samej kopii zapasowej klucza, backup
rollback. Ta sekwencja działa niezawodnie, jeśli moduł KASP Enforcer jest uruchomiony. Jeśli to jest
nie, jednofazowa kopia zapasowa backup zrobić zapewnia zasilanie jednofazowe
alternatywy.
backup popełnić --repozytorium|-r Nazwa
Zakończ pomyślnie dwufazową procedurę tworzenia kopii zapasowej klucza. Po utworzeniu kopii zapasowej klucza
się powiodło, zwolnij wszystkie przygotowane wcześniej klucze do obsługi przez OpenDNSSEC. Każdy
klucze, które zostały wygenerowane od ostatniego wystawionego przygotowania, nie zostaną zwolnione jako
nie jest pewne, czy są one rzeczywiście uwzględnione w kopii zapasowej.
backup rollback --repozytorium|-r Nazwa
Bezpiecznie zakończ nieudaną dwufazową procedurę tworzenia kopii zapasowej klucza. Po niepowodzeniu tworzenia kopii zapasowej klucza
wycofać wszystkie wcześniej przygotowane klucze do stanu, w którym zostały wygenerowane, ale
nie jest jeszcze dostępny do obsługi przez OpenDNSSEC. Po naprawieniu tego problemu nowy
można podjąć próbę wykonania kopii zapasowej kluczy.
backup zrobić --repozytorium|-r Nazwa [--zmuszać]
*WYCOFANE*
Wskaż, że wykonano kopię zapasową danego repozytorium, wszystkie bez kopii zapasowej
klucze będą teraz oznaczone jako kopie zapasowe. Opcja --repository określa co
repozytorium do listy.
Należy pamiętać, że moduł KASP Enforcer może podjąć inicjatywę wygenerowania kluczy po
rozpoczęło się tworzenie kopii zapasowej i przed jej zakończeniem. To jednofazowe polecenie tworzenia kopii zapasowych
zrzeka się tego, co jest bezpieczne, gdy moduł KASP Enforcer nie jest uruchomiony. Jeśli zamierzasz
jeśli moduł Enforcer będzie działał, zamiast tego będziesz chciał korzystać z zasilania dwufazowego backup
przygotować po którym następuje albo backup popełnić or backup rollback.
baza danych backup [--wyjście|-o wyjście]
Wykonaj kopię bazy danych KASP Enforcer (jeśli używasz sqlite). To polecenie
zapewnia, że baza danych jest w spójnym stanie, usuwając najpierw blokadę. The
--output opcja określa, gdzie powinno iść wyjście; jeśli nie określono, wyjście
przechodzi do zwykłego pliku egzekwowania.db.backup.
PROCES CONTROL PODPOLECENIA
start|stop|powiadamiaj
Uruchom, zatrzymaj lub wyślij „SIGHUP” do procesu ods-enforcerd.
KEY PAŃSTWA
GENEROWAĆ
Klucz został właśnie wygenerowany, ale nie jest gotowy do użycia.
PUBLIKOWAĆ
Klucz został opublikowany w strefie nadrzędnej.
GOTOWY Klucz jest gotowy do użycia. Np. zgodnie z ustawieniami w polityce klucz został
publikowane wystarczająco długo, aby rozprzestrzeniły się na wszystkie resolwery.
AKTYWNY Klucz jest aktywnie używany do podpisywania jednej lub kilku stref.
RETIRE (WYCOFANIE) Klucz albo osiągnął koniec zaplanowanego okresu użytkowania, albo został wyrzucony
przedwcześnie. Jednak rekordy podpisane za jego pomocą mogą nadal być buforowane, jeśli klucz jest
nadal publikowane.
DEAD Klucz został wycofany na tyle długo, że jego użycie nie jest już przechowywane w pamięci podręcznej, więc jest
został usunięty ze strefy.
KEY TYPY
Klucze mogą być dwojakiego rodzaju: KSK lub ZSK. Terminy te są wyjaśnione bardziej szczegółowo w
opendnssec(1).
W rekordach DNS KSK można zwykle rozpoznać po posiadaniu SEP (Secure Entry Point)
zestaw flag. Należy jednak pamiętać, że oficjalnie jest to tylko wskazówka.
INTERWAŁ FORMAT
Podczas określania interwału dla uruchomienia generowania klucza używany jest standard ISO 8601, np
P2Y6M na 2 lata i 6 miesięcy; lub PT12H30M przez 12 godzin i 30 minut. Zauważ, że rok
przyjmuje się, że ma 365 dni, a miesiąc to 31 dni.
CZAS FORMATY
Podczas określania czasu generowania/wycofania importowanego klucza następujące formaty
są rozumiane:
RRRRMMDD[GG[MM[SS]]]
(wszystkie numeryczne)
D-MMM-RRRR[:| ]GG[:MM[:SS]]
DD-MMM-RRRR[:| ]GG[:MM[:SS]]
RRRR-MMM-DD[:| ]GG[:MM[:SS]]
(miesiąc alfabetycznie)
D-MM-RRRR[:| ]GG[:MM[:SS]]
DD-MM-RRRR[:| ]GG[:MM[:SS]]
RRRR-MM-DD[:| ]GG[:MM[:SS]]
(miesiąc numeryczny)
Korzystaj z ods-ksmutil online, korzystając z usług onworks.net
