Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen ods-ksmutil komutudur.
Program:
ADI
ods-ksmutil - OpenDNSSEC bölgesi ve anahtar yönetimi
SİNOPSİS
ods-ksmutil kurulum
ods-ksmutil [ başlama | durdurmak | bildirmek ]
ods-ksmutil güncelleştirme [ casp | bölge listesi | conf | herşey ]
ods-ksmutil bölge [ eklemek | silmek | liste ] Kendi ID’n ile mağazalarını oluştur
ods-ksmutil bölge listesi [ ithalat | ihracat ]
ods-ksmutil anahtar [ oluşturmak | ithalat | ihracat | liste | tasfiye | rollover | ksk-emekli |
ds görüldü | silmek ] Kendi ID’n ile mağazalarını oluştur
ods-ksmutil rollover liste Kendi ID’n ile mağazalarını oluştur
ods-ksmutil politika [ ihracat | ithalat | tasfiye ] Kendi ID’n ile mağazalarını oluştur
ods-ksmutil Depo liste Kendi ID’n ile mağazalarını oluştur
ods-ksmutil yedek [ liste | hazırlamak | işlemek | geri alma | yapılmış ]
ods-ksmutil veritabanı yedek Kendi ID’n ile mağazalarını oluştur
TANIM
ods-ksmutil OpenDNSSEC'in bir parçası olan KASP Enforcer'ın çalışmasını yönetir
ile politikalara dayalı olarak etki alanlarında anahtar oluşturma ve imzalama işlemlerini tetikleyen
kullanıcı tanımlı zamanlama ve güvenlik gereksinimleri. Bu yönetimin ötesindeki her şey
yardımcı program genellikle otomatiktir, ods-ksmutil OpenDNSSEC'i yönetmek için birincil araçtır.
işlevleri arasında ods-ksmutil anahtar yönetimi, bölge listesindeki güncellemeler ve
Anahtar kaybı gibi istisnai durumlardan kurtulmak için manuel olarak yuvarlanan anahtarlar.
Başlamak için, ilk çağrı ods-ksmutil kurulum gereklidir; KURULUM VE GÜNCELLEME'ye bakın
Ayrıntılar için aşağıdaki KOMUTLAR. Bu yapıldıktan sonra, işlevselliğin geri kalanı
ods-ksmutil kullanılabilir hale gelir.
Aşağıdaki bölümlerde, mantıksal gruplardaki alt komutlar tartışılır ve tüm seçenekler ayrıntılı olarak açıklanır.
desteklediler.
GENEL SEÇENEKLER
-c yapılandırma dosyası, --yapılandırma yapılandırma dosyası
Varsayılandan kullanılan conf.xml dosyasını değiştirin.
yardım et Bu, bir alt komut olarak kullanılabilir ods-ksmutil veya kısmi bir süre sonra kullanılabilir
alt komut. Cevap olarak, ods-ksmutil nasıl devam edeceğinin bir özetini verecektir.
Komut.
-V, --versiyon
Sürüm numarasını göster
KURMAK VE GÜNCELLEME ALT KOMUTLAR
kurulum conf.xml, kasp.xml ve zonelist.xml dosyasını bir veritabanına aktarın. Bu herhangi birini siler
OpenDNSSEC yönetimi ile veritabanından güncel yönetim bilgileri
anahtarlara yapılan referanslar da dahil olmak üzere bilgiler. Mevcut bir kurulumda yapılan güncellemeler
bu nedenle normalde bu alt komutu çalıştırmaz, ancak güncelleştirme yerine.
güncelleştirme casp
güncelleştirme bölge listesi
güncelleştirme conf
güncelleştirme herşey
Veritabanını ilgili yapılandırma dosyasının içeriğiyle veya tümü ile güncelleyin.
o dosyalar. Sonuç ile karşılaştırılabilir kurulum alt komut, bunun dışında
OpenDNSSEC ile ilgili yönetim bilgileri silinmez.(Ayrıca güncellemenin kasp olduğunu unutmayın.
veritabanından herhangi bir ilkeyi kaldırmaz, ilke temizliğini kaldırmak için kullanılabilir
kullanılmayan politikalar).
BÖLGE YÖNETİM ALT KOMUTLAR
bölge eklemek --bölge|-z bölge [--politika|-p isim] [--türde|-j tip] [--out-type|-q tip]
[--giriş|-i giriş] [--çıktı|-o çıktı] [--xml yok]
Hem zonelist.xml'e hem de veritabanına bir bölge ekleyin. Bu, manuel olarak eşdeğerdir
zonelist.xml dosyasını düzenleme ve ardından güncelleştirme bölge listesi alt komut. Bölge
seçenek, eklenecek bölgeyi adlandırır; --policy seçeneği, bunun yerine kullanılacak ilkeyi adlandırır
varsayılan; --in-type ve --out-type girdi ve çıktının türünü belirtir
bağdaştırıcılar (DNS veya Dosya olmalıdır, varsayılan Dosya'dır); --input seçeneği bir
imzasız bölge için standart olmayan konum (varsayılan
/var/lib/opendnssec/unsigned/ZONE) veya DNS giriş dosyası (varsayılan
/etc/opendnssec/addns.xml); --output seçeneği standart olmayan bir konumu belirtir
imzalı bölge için (varsayılan /var/lib/opendnssec/signed/ZONE) veya DNS çıktısı için
dosya (varsayılan /etc/opendnssec/addns.xml'dir). --no-xml bayrağı
zonelist.xml dosyasının güncellenmesi. Bu, toplu iş modu için uygundur.
birden fazla bölge ekleyecek ve ardından sonunda bir kez bölge listesi yazacaktır.
bölge silmek --bölge|-z isim [--xml yok]
bölge silmek --hepsi|-a
Bir bölgeyi (veya sırasıyla tüm bölgeleri) hem zonelist.xml'den hem de
veri tabanı. Bu, zonelist.xml dosyasını manuel olarak düzenlemeye ve ardından
güncelleştirme bölge listesi alt komut. --no-xml bayrağı, zonelist.xml dosyasının
güncelleniyor. Bu, birden fazla sileceğiniz toplu iş modu için uygundur.
bölgeleri ve ardından sonunda bir kez bölge listesi yazmanız yeterlidir.
bölge liste
zonelist.xml'den bölgeleri listeleyin. YAPILACAKLAR: Veritabanından değil mi?
bölge listesi ihracat
Bölge listesini veritabanından zonelist.xml ile aynı biçimde dışa aktarın
bölge listesi ithalat
Veritabanını zonelist.xml içeriğiyle senkronize edin; "güncelleme" ile aynı
bölge listesi"
ANAHTAR YÖNETİM ALT KOMUTLAR
anahtar oluşturmak --politika|-p isim --aralık|-n aralık [--bölgetoplam|-Z bölge toplamı]
Adlandırılmış ilkenin tarafından verilen süre boyunca sürmesi için yeterli anahtar oluşturun.
Aralık. Zamanlama spesifikasyonlarının formatı için ARALIK FORMATI'na bakın.
Olarak yapılandırılırsa, OpenDNSSEC ihtiyaç duyulduğunda otomatik olarak anahtarlar oluşturur.
Bu komut, anahtarları önceden oluşturmak için kullanılabilir (belki bir
HSM) yedekleme ilkelerine yardımcı olmak için. Aynı zamanda uygun bir önceden oluşturma yöntemidir.
bir felaket kurtarma sitesinin anahtarların bir kopyasına sahip olmasına izin vermek için bir dizi anahtar
anında oluşturulan anahtarları senkronize etmek için gerekli.
Varsayılan olarak komut, belirtilen bölgede bulunan tüm bölgeler için anahtarlar üretir.
politika. İsteğe bağlı parametre --zonetotal belirtilirse, tuşlar
gerçekte kaç tane olduğuna bakılmaksızın, bu toplam bölge sayısı için oluşturulan
şu anda poliçede.
anahtar ithalat --algoritma|-g Algname --bitler|-b bit --depo|-r repo --cka_id|-k ckaid
--bölge|-z bölge --keytype|-t tip --anahtar durumu|-e belirtmek, bildirmek --zaman|-w zaman [--check-deposu|-C
kontrol deposu] [--emekli|-y zaman]
OpenDNSSEC kodunun dışında oluşturulmuş bir anahtarı veritabanına ekleyin. İçinde
bunu yaparken, anahtar yönetimine dahil olan diğer ayrıntılar,
seçenekleri.
--algorithm seçeneği, bu anahtarla kullanılan algoritmayı adlandırır; --bits belirtir
bit cinsinden anahtar boyutu olarak bu algoritmanın gücü.
--repository seçeneği, anahtarın saklanacağı depoyu adlandırır; NS
--cka_id seçeneği, o anahtarda bu anahtarı tanımlamak için kullanılacak adı belirtir.
depo; --zone seçeneği, bu anahtarın kullanılacağı bölgeyi belirtir;
--keytype seçeneği, bu anahtarın bir KSK veya ZSK olarak hizmet edip etmeyeceğini belirtir.
Bu terimlere giriş için aşağıdaki ANAHTAR TÜRLER'e bakın.
--keystate seçeneği, içe aktarma işleminden sonra anahtarın hangi durumda olacağını belirtir.
ve aşağıdaki ANA DURUMLAR bölümünde tanımlanan seçeneklerden biri olmalıdır. zaman
seçenek, bu anahtarın oluşturulduğu zamanı belirtir; --check-repository seçeneği
belirtilenle eşleşen bir anahtar yoksa, anahtar içe aktarma işleminin başarısız olması gerektiğini belirtti.
cka_id Depoda var. --retire seçeneği bunun zamanını belirtir.
anahtar emekli olmalıdır. Bu son iki seçenek, TIME içinde verilen biçimleri alır.
Aşağıdaki FORMATLAR bölümü.
anahtar ihracat --bölge|-z isim [--anahtar durumu|-e belirtmek, bildirmek] [--anahtar türü|-t tip] [--ds]
anahtar ihracat --herşey [--anahtar durumu|-e belirtmek, bildirmek] [--anahtar türü|-t tip] [--ds]
Belirli bir bölge için veya sırasıyla tüm bölgeler için anahtarları
veri tabanı. --ds seçeneği, bir dosyaya yüklemek üzere DS kayıtlarını almak için kullanılabilir.
tam anahtar yerine kayıt defteri; --keystate seçeneği, sınırlamak için kullanılabilir.
belirli bir durumda anahtarlara çıktı; --keytype seçeneği, sınırlamak için kullanılabilir.
belirli bir türdeki anahtarlara çıktı. Bkz. ANAHTAR TÜRLERİ ve ANAHTAR DEVLETLERİ bölümler altında
için a şartname of mümkün anahtar türleri ve durumları.
anahtar liste [--alan isim] [--ayrıntılı] [--keystate|--all|-e belirtmek, bildirmek|-a] [--anahtar türü tip|-t tip]
Tüm bölgelerdeki veya belirli bir bölgedeki anahtarlarla ilgili bilgileri listeleyin. Varsayılan tuşlar
OLUŞTUR ve ÖLÜ durumunda görüntülenmez.
--verbose seçeneği, her bir anahtar hakkında ek bilgileri listelemek için kullanılır.
--keystate seçeneği, çıktıyı belirli bir durumdaki anahtarlarla sınırlamak için kullanılabilir. Eğer
--all seçeneği kullanılır, ardından tüm durumlardaki anahtarlar (GENERATE ve DEAD dahil)
görüntülenir. --keytype seçeneği, çıktıyı verilen bir anahtarla sınırlamak için kullanılabilir.
yazın. Bkz. ANAHTAR TÜRLERİ ve ANAHTAR DEVLETLERİ bölümler altında için a şartname of
mümkün anahtar türleri ve durumları.
anahtar tasfiye --bölge|-z isim
anahtar tasfiye --politika|-p isim
Ölü durumdaki tüm anahtarları depodan ve veri tabanından kaldırın.
KASP Uygulayıcı. --zone ve --policy seçenekleri bu işlemi sınırlamak için kullanılır.
sırasıyla tek bir adlandırılmış bölge veya ilke.
anahtar rollover --bölge|-z isim --anahtar türü tip|-t tip
anahtar rollover --bölge|-z isim --hepsi|-a
anahtar rollover --politika|-p isim --anahtar türü tip|-t tip
anahtar rollover --politika|-p isim --hepsi|-a
Sırasıyla, adlandırılmış bölge veya ilke üzerindeki rollover etkin anahtarları. Bu komut
manuel rollover'ları başlatmak için kullanılır; verilmezse, OpenDNSSEC otomatik olarak
Gerektiğinde rollover tuşları. (Ya da KSK'lar söz konusu olduğunda,
rollover işlemi, KSK rollover'ı bitirmek için aşağıdaki ksk-roll'e bakın.)
--keytype seçeneği, atılacak anahtarın türünü belirtir. Alternatif olarak --all
Her iki tür anahtarı da alacak olan seçenek kullanılabilir. Çalıştırdıktan sonra, KASP
İmzalayana yeni bilgilerin gönderilebilmesi için Uygulayıcı uyandırılacaktır.
Bölgenin açık olduğu ilke, anahtarların paylaşıldığını belirtiyorsa, tüm bölgeler açık
bu politika yuvarlanacak. Uygunsa sqlite DB dosyasının yedeği alınır.
Geçerli anahtardan devralmaya hazır anahtar yoksa, rollover
hemen gerçekleşmez, ancak hazır durumda bir anahtar olana kadar ertelenir.
anahtar ksk-emekli --bölge|-z bölge
anahtar ksk-emekli --anahtar etiketi|-x anahtar etiketi
anahtar ksk-emekli --cka_id|-k ckaid
OpenDNSSEC'e şu anda etkin olan bir anahtarın kullanımdan kaldırılması gerektiğini belirtin. eğer anahtar
tanımlayıcılar sağlanmazsa, bölgedeki en eski anahtar kullanımdan kaldırılır.
Yalnızca bir anahtar etkin durumdaysa, bu komut bir hatayla çıkacaktır.
mesaj, tamamlama olarak hiçbir aktif anahtar bırakmaz.
anahtar ds görüldü --bölge|-z bölge --anahtar etiketi|-x anahtar etiketi [--notify|-l] [--yok-emekli|-f]
anahtar ds görüldü --bölge|-z bölge --cka_id|-k ckaid [--notify|-l] [--yok-emekli|-f]
Gönderilen bir DS kaydının üst bölgede göründüğünü OpenDNSSEC'ye belirtin,
ve böylece bir KSK devrinin tamamlanmasını tetikler. Bu eylemin olmadığını unutmayın
ancak standartlaştırılmıştır ve bu nedenle genel, otomatik bir şekilde çözülemez.
Bu komut, herhangi bir kişiselleştirilmiş kuruluma dahil edilmek üzere tasarlanmıştır.
otomatik olmayın.
Hangi DS'nin DNS'de olduğunu belirtmenin birkaç yolu vardır ve seçenekler bunları yansıtır.
alternatifler. --keytag seçeneği, bir işlev işlevi gören kısa tamsayıyı belirtir.
Bir anahtara DNSSEC tanıtıcısı; --cka_id seçeneği, uzun olması yoluyla bir anahtarı ifade eder.
Depodaki anahtarı tanımlamak için kullanılan onaltılık tanımlayıcı.
İsteğe bağlı bir --no-notify bayrağı da iletilebilir, bu da uygulayıcının
bu değişiklikten haberdar edilir. Bu bayrak kullanılırsa, uygulayıcı
'ods-enforcerd notify' komutuyla manuel olarak bildirilir, aksi takdirde değişiklikler
uygulayıcının bir sonraki programlanmış çalışmasına kadar geçerli olur.
İsteğe bağlı bir --no-retire bayrağı da bu mevcut anahtar olmadan geçirilebilir.
yeni anahtarı aktif hale getirirken aynı anda kullanımdan kaldırılmış duruma taşınır. Eğer
bu adımı geciktirmek ve ardından bu bayrağı geçmek ve ksk-retire komutunu kullanmak istiyorsanız
ihtiyaç duyulduğunda.
anahtar silmek --cka_id|-k ckaid [--hayır-hsm]
Adlandırılmış bir anahtarı sistemden kaldırın.
GENERATE veya DEAD durumundaki anahtarlar, sistemden güvenli bir şekilde kaldırılabilir.
kullanımda değiller.
Anahtar materyali HSM'de bırakmak istiyorsanız --no-hsm bayrağı sağlanabilir.
rollover liste
Yaklaşan rollover'ların beklenen tarihlerini ve saatlerini listeleyin. Bu almak için kullanılabilir
DS kayıtlarının standartlaştırılmamış olarak sunulması gibi yaklaşan çalışmalar hakkında bir fikir
bir kayıt defteri.
POLİTİKA YÖNETİM ALT KOMUTLAR
politika ihracat [--politika|--tümü|-p|-a]
Veritabanından bir ilkeyi kasp.xml dosyasıyla aynı biçimde dışa aktarın.
politika ithalat
Veritabanını kasp.xml içeriğiyle güncelleyin; "kasp güncelleme" ile aynı.
politika tasfiye
* deneysel *
Kendileriyle ilişkili bölgeleri olmayan tüm ilkeleri kaldırın. unutmayın ki bu
komutu yalnızca laboratuvar ortamında test edilmiştir ve bu nedenle dikkatli olunması önerilir.
DEPO VE YEDEK ALT KOMUTLAR
Depo liste
Veritabanından depoları listeleyin.
yedek liste --depo|-r isim
Verilen depoda yapılan yedeklemeleri listeleyin. --deposu
seçenek, hangi havuzun listeleneceğini belirtir.
yedek hazırlamak --depo|-r isim
İki aşamalı bir anahtar yedekleme prosedürü başlatın. Buraya kadar oluşturulan anahtarları aşağıdakiler için hazırlayın:
destek olmak. Bu komuttan sonra OpenDNSSEC tarafından otomatik olarak oluşturulan anahtarlar
yedeklenmesi garanti edilir ve bu nedenle ne zaman dikkate alınmayacaktır?
OpenDNSSEC tarafından kullanılmak üzere hazırlanan anahtarların taahhüt edilmesi. Bir sonraki komut genellikle
ya yedek işlemek veya anahtar yedeğinin kendisinin başarısız olması durumunda, yedek
geri alma. Bu sıra, KASP Enforcer çalışıyorsa güvenilir şekilde çalışır. Eğer öyleyse
değil, tek fazlı yedekleme yedek yapılmış tek aşamalı yedekleme sağlar
alternatif.
yedek işlemek --depo|-r isim
İki aşamalı anahtar yedekleme prosedürünü başarıyla sonlandırın. Anahtar yedeklemesi yapıldıktan sonra
başarılı olduysa, OpenDNSSEC tarafından hizmet için önceden hazırlanmış tüm anahtarları serbest bırakın. Herhangi
son yayınlanan hazırlıktan bu yana oluşturulan anahtarlar serbest bırakılmayacaktır.
bunların gerçekten yedeklenip yedeklenmediği belirsizdir.
yedek geri alma --depo|-r isim
Başarısız bir iki aşamalı anahtar yedekleme prosedürünü güvenle sonlandırın. Anahtar yedekleme başarısız olduktan sonra,
önceden hazırlanmış tüm anahtarları oluşturuldukları duruma geri alma, ancak
Henüz OpenDNSSEC tarafından hizmete sunulmamıştır. Bu sorunu çözdükten sonra yeni bir
anahtarları yedekleme girişimi yapılabilir.
yedek yapılmış --depo|-r isim [--Kuvvet]
* KULLANIMDAN KALDIRILDI*
Verilen havuzun bir yedeğinin yapıldığını, tümünün yedeklenmemiş olduğunu belirtin
anahtarlar artık yedeklendi olarak işaretlenecek. --repository seçeneği ne olduğunu belirtir.
listelemek için depo.
KASP Uygulayıcısının, aşağıdakilerden sonra anahtarlar oluşturmak için inisiyatif alabileceğini unutmayın.
yedekleme başladı ve yedekleme tamamlanmadan önce. Bu tek fazlı yedekleme komutu
KASP Enforcer çalışmadığında güvenli olan bundan feragat eder. niyetin varsa
Uygulayıcıyı çalışır durumda tutarsanız, bunun yerine iki aşamalı yedek
hazırlamak ardından yedek işlemek or yedek geri alma.
veritabanı yedek [--çıktı|-o çıktı]
KASP Enforcer veritabanının bir kopyasını alın (sqlite kullanıyorsanız). Bu komut
önce bir kilitleme alarak veritabanının tutarlı bir durumda olmasını sağlar. NS
--output seçeneği çıktının nereye gitmesi gerektiğini belirtir; belirtilmemişse, çıktı
olağan forcer.db.backup dosyasına gider.
SÜRECİ KONTROL ALT KOMUTLAR
başlat|durdur|bildir
ods-enforcerd sürecini başlatın, durdurun veya "SIGHUP" gönderin.
ANAHTAR DEVLETLERİ
OLUŞTUR
Anahtar yeni oluşturuldu, ancak kullanıma hazır değil.
YAYINLA
Anahtar, üst bölgede yayınlandı.
HAZIR Anahtar kullanıma hazırdır. Örneğin, politikadaki ayarlara göre anahtar
tüm çözümleyicilere yayılacak kadar uzun süre yayınlandı.
AKTİF Anahtar, bir veya daha fazla bölgeyi imzalamak için aktif olarak kullanılıyor.
RETIRE Anahtar ya planlanan ömrünün sonuna geldi ya da yuvarlandı
erken. Bununla birlikte, onunla imzalanan kayıtlar yine de önbelleğe alınabilir sp anahtarı
hala yayınlanıyor.
DEAD Anahtar, kullanımı artık önbelleğe alınmayacak kadar uzun süre kullanımdan kaldırıldı, bu yüzden
zondan uzaklaştırılmıştır.
ANAHTAR TÜRLERİ
Anahtarlar iki tip olabilir: KSK veya ZSK. Bu terimler şurada daha ayrıntılı olarak açıklanmaktadır:
opendnssn(1).
DNS kayıtlarında, KSK genellikle SEP'ine (Güvenli Giriş Noktası) sahip olarak tanınabilir.
bayrak seti. Ancak resmi olarak bunun sadece bir ipucu olduğunu lütfen unutmayın.
ARALIK FORMAT
Anahtar oluşturma çalıştırması için bir aralık belirtilirken ISO 8601 standardı kullanılır, örn.
2 yıl 6 ay boyunca P2Y6M; veya 12 saat 30 dakika için PT12H30M. unutmayın ki bir yıl
365 gün ve bir ayın 31 gün olduğu varsayılmıştır.
ZAMAN BİÇİMLER
İçe aktarılmakta olan bir anahtar için bir üretim/kullanım süresi belirlenirken aşağıdaki biçimler
anlaşıldı:
YYYYMMDD[SS[MM[SS]]]
(hepsi sayısal)
G-AAA-YYYY[:| ]SS[:DD[:SS]]
GG-AAA-YYYY[:| ]SS[:DD[:SS]]
YYYY-AAA-GG[:| ]SS[:DD[:SS]]
(alfabetik ay)
G-AA-YYYY[:| ]SS[:DD[:SS]]
GG-AA-YYYY[:| ]SS[:DD[:SS]]
YYYY-AA-GG[:| ]SS[:DD[:SS]]
(sayısal ay)
onworks.net hizmetlerini kullanarak ods-ksmutil'i çevrimiçi kullanın
