Đây là lệnh zoneignerp có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
zoneigner - Tạo khóa mã hóa và ký vùng DNS
SYNOPSIS
zoneigner [tùy chọn]
# bắt đầu ngay các ví dụ:
# lần đầu tiên chạy trên một vùng cho example.com:
zoneigner -genkeys -endtime +2678400 example.com
# lần chạy trong tương lai trước thời gian hết hạn (sử dụng lại các khóa tương tự):
zoneigner -endtime +2678400 example.com
MÔ TẢ
Tập lệnh này kết hợp thành một lệnh duy nhất nhiều hành động được yêu cầu để ký DNS
vùng. Nó tạo các khóa KSK và ZSK cần thiết, thêm dữ liệu khóa vào bản ghi vùng
tệp, ký tên vào tệp vùng và chạy kiểm tra để đảm bảo rằng mọi thứ hoạt động bình thường. Nó
cũng lưu hồ sơ về các khóa và cách khu vực đã được ký để tạo điều kiện cho việc tái lập
ký kết của khu trong tương lai.
Sản phẩm người đánh cá- hồ sơ ký vùng cụ thể được lưu giữ trong keyrec các tập tin. Sử dụng keyrec
các tệp, được xác định và duy trì bởi DNSSEC-Tools, người đánh cá có thể tự động thu thập nhiều
các tùy chọn được sử dụng trước đây để ký và tạo một vùng cũng như các khóa của nó. Điều này cho phép
khu vực được duy trì bằng cách sử dụng cùng độ dài khóa và thời gian hết hạn, ví dụ:
mà không cần quản trị viên theo dõi các trường này theo cách thủ công.
NHANH BẮT ĐẦU
Sau đây là các ví dụ sẽ cho phép bắt đầu nhanh chóng việc sử dụng người đánh cá:
lần đầu tiên chạy trên example.com
Lệnh sau sẽ tạo các khóa và ký tên vào tệp vùng cho example.com,
đưa ra ngày hết hạn là 31 ngày trong tương lai. Tệp vùng được đặt tên example.com
và tệp vùng đã ký sẽ được đặt tên ví dụ.com.signed.
zoneigner -genkeys -endtime +2678400 example.com
các lần chạy tiếp theo trên example.com
Lệnh sau sẽ ký lại tệp vùng của example.com, nhưng sẽ không tạo mới
chìa khóa. Các tệp và tất cả các đối số tạo khóa và ký vùng sẽ vẫn là
Tương tự.
zoneigner example.com
SỬ DỤNG KHU VỰC
người đánh cá được sử dụng theo cách này:
zoneigner [tùy chọn]
Sản phẩm vùng-tập tin đối số là bắt buộc.
vùng-tập tin là tên của tệp vùng mà từ đó tệp vùng đã ký sẽ được tạo. Nếu như
các -vùng tùy chọn không được đưa ra, sau đó vùng-tập tin sẽ được sử dụng làm tên của khu vực
sẽ được ký kết. Các khóa đã tạo được lấy tên này làm cơ sở của chúng.
Một khi người đánh cá đã tạo một bộ khóa cho một khu vực và ký tên cho khu vực đó, nó có thể được sử dụng
để ký lại khi tệp vùng thay đổi. Khi chạy mà không có bất kỳ tùy chọn nào, người đánh cá sẽ
tham khảo keyrec của khu vực để tìm bộ khóa thích hợp và sau đó sẽ ký vào
vùng xác định với họ.
Tệp vùng được sửa đổi để có bao gồm các lệnh, sẽ bao gồm KSK và ZSK
chìa khóa. Những dòng này được đặt ở cuối tệp và không được sửa đổi bởi
người sử dụng. Nếu tệp vùng đã bao gồm bất kỳ tệp chính nào, các tệp bao gồm đó sẽ bị xóa.
Các dòng này được phân biệt bằng cách bắt đầu bằng "$ INCLUDE" và kết thúc bằng ".key". Chỉ
các dòng bao gồm thực tế bị xóa; bất kỳ dòng bình luận liên quan được để nguyên.
Một tệp trung gian được sử dụng để ký vùng. vùng-tập tin được sao chép vào trung gian
và được sửa đổi để chuẩn bị ký tệp vùng. Một số dòng $ INCLUDE sẽ
được thêm vào cuối tệp và số sê-ri SOA sẽ được tăng dần.
khu ký kết là tên của tệp vùng đã ký. Nếu nó không được đưa ra trên dòng lệnh,
tên tệp vùng ký mặc định là vùng-tập tin được nối bằng ".signed". Vì vậy,
thi hành người đánh cá example.com sẽ dẫn đến vùng đã ký được lưu trữ trong
ví dụ.com.signed.
Trừ khi -cái ngựa, -genksk, -genzsk, hoặc là -newpubksk các tùy chọn được chỉ định, các phím cuối cùng
được tạo cho một khu vực cụ thể sẽ được sử dụng trong người đánh cá các cuộc hành quyết. DS
hồ sơ sẽ được bao gồm trong các hoạt động ký kết trừ khi -cũng tùy chọn được sử dụng.
người đánh cá có thể được sử dụng với trình quản lý di chuột qua, chẳng hạn như con lăn, để cung cấp tự động
quản lý một khu vực, các khóa của khu vực đó và việc ký kết khu vực đó. Nếu một con lăn-quản lý
Zonefile thay đổi trong khi con lăn đang đợi chuyển vùng bắt đầu hoặc giai đoạn chuyển đổi
hoàn thành, người đánh cá có thể được sử dụng để ký vùng với bộ khóa thích hợp; con lăn
sẽ không bị gián đoạn bởi điều này.
KEYREC CÁC TẬP TIN
keyrec tệp giữ lại thông tin về các hoạt động tạo khóa và ký vùng trước đó.
Nếu một keyrec tệp không được chỉ định (bằng cách -krfile tùy chọn), sau đó là mặc định keyrec
tệp được sử dụng. Nếu mặc định này không được chỉ định trong cấu hình DNSSEC-Tools của hệ thống
tệp, tên tệp sẽ là tên vùng được nối với .krf. Nếu -nokrfile Tùy chọn là
đưa ra, sau đó không keyrec tập tin sẽ được tư vấn hoặc lưu.
Mỗi trang web keyrec chứa một tập hợp các mục nhập "khóa / giá trị", một mục trên mỗi dòng. Ví dụ 4 dưới đây chứa
nội dung của một mẫu keyrec tập tin.
keyrec tệp chứa ba loại mục nhập: khu vực keyrecs, thiết lập keyrecs, và chìa khóa keyrecs.
Khu keyrecs chứa thông tin cụ thể về khu vực, chẳng hạn như số lượng ZSK
được sử dụng để ký vùng, thời gian kết thúc cho vùng và các tên nhóm ký khóa (tên của
định keyrecs.) Đặt keyrecs chứa danh sách khóa keyrec tên được sử dụng cho một mục đích cụ thể,
chẳng hạn như các khóa ZSK hiện tại hoặc các khóa ZSK đã xuất bản. Chìa khóa keyrecs chứa thông tin
về chính các khóa được tạo, chẳng hạn như thuật toán mã hóa, độ dài khóa và khóa
cả đời.
Khi một khu vực tiến hành thông qua chuyển khóa, các khóa mật mã mới sẽ được tạo cho
vùng. Các thông số chính khác nhau (ví dụ: độ dài khóa và thuật toán tiền điện tử) sẽ giống nhau
như các tham số trước đây được sử dụng để tạo khóa cho vùng đó. Các bàn phím lệnh
cho phép các tham số chính này được sửa đổi khi nhu cầu thay đổi. Nếu một tham số cụ thể là
đã thay đổi, chẳng hạn như độ dài KSK thay đổi từ 1024 thành 2048, sau đó tương lai các phím sẽ phản ánh
sự thay đổi đó; khóa hiện tại và quá khứ sẽ không được sửa đổi.
keyrec Các Tập Tin và RFC5011 KSK Thu hồi
Nếu quá trình xử lý RFC5011 được bật, sẽ có xử lý đặc biệt đối với tập hợp của khu vực keyrec of
đã thu hồi các khóa KSK. Trường "kskrev" trong khu vực keyrec chỉ vào một tập hợp keyrec, được đánh dấu
thuộc loại "kskrev". Bộ này keyreclần lượt, trỏ đến một số tập hợp khác
keyrecs, tất cả đều được đánh dấu là thuộc loại "kskrev". Nhóm tất cả đã bị thu hồi
Khóa KSK được tìm thấy bằng cách tham khảo ý kiến của tập hợp con "kskrev" đó keyrecNS. Khi mà
tuổi của các khóa bị thu hồi này vượt quá thời hạn thu hồi của chúng, chúng được đánh dấu là
lỗi thời ("kskobs"). Nếu điều này xảy ra như một phần của quá trình di chuột qua bình thường, thì khóa đã thu hồi này và
định keyrecs tất cả đều bị xóa khỏi chuỗi hoạt động, bị thu hồi keyrecNS. Nếu điều này xảy ra với
một khóa là một phần của bộ khóa lớn hơn, nó được xóa khỏi bộ ký đó và đưa vào
bộ ký mới của riêng nó.
SỰ HỖN LOẠN
Trên một số hệ thống, việc triển khai trình tạo số giả ngẫu nhiên yêu cầu
hoạt động bàn phím. Hoạt động bàn phím này được sử dụng để điền vào một bộ đệm trong ngẫu nhiên của hệ thống
bộ tạo số. Nếu như người đánh cá xuất hiện hung, bạn có thể phải thêm entropy vào ngẫu nhiên
tạo số bằng cách đánh các phím ngẫu nhiên cho đến khi chương trình hoàn thành. Hiển thị cái này
thông điệp được kiểm soát bởi entropy_msg tham số tệp cấu hình.
XÁC ĐỊNH TÙY CHỌN GIÁ TRỊ
người đánh cá kiểm tra bốn vị trí để xác định giá trị tùy chọn. Theo thứ tự giảm dần của
ưu tiên, những nơi này là:
tùy chọn dòng lệnh
tệp keyrec
Tệp cấu hình DNSSEC-Tools
zoneigner mặc định
Mỗi cái được kiểm tra cho đến khi một giá trị được tìm thấy. Giá trị đó sau đó được sử dụng cho người đánh cá
thực thi và giá trị được lưu trữ trong keyrec tập tin.
Ví dụ
Ví dụ: độ dài KSK có các giá trị sau:
-ksklength tùy chọn dòng lệnh: 8192
tệp keyrec: 1024
Tệp cấu hình DNSSEC-Tools: 512
Các giá trị mặc định của vùng: 2048
Nếu tất cả đều có mặt, thì độ dài KSK sẽ là 8192.
Nếu -ksklength tùy chọn dòng lệnh không được cung cấp, độ dài KSK sẽ là 1024.
Nếu độ dài KSK không được cung cấp trong tệp cấu hình, nó sẽ là 8192.
Nếu độ dài KSK không nằm trong keyrec tệp hoặc tệp cấu hình, độ dài KSK sẽ
là 8192.
Nếu -ksklength tùy chọn dòng lệnh không được cung cấp và độ dài KSK không có trong
tệp cấu hình, nó sẽ là 1024.
Nếu tùy chọn dòng lệnh không được cung cấp, độ dài KSK không có trong keyrec tập tin và nó
không có trong tệp cấu hình, thì độ dài KSK sẽ là 512.
LỰA CHỌN
Ba loại tùy chọn có thể được đưa ra, dựa trên lệnh mà chúng dự định.
Các lệnh này là dnssec-keygen, dnssec-signzonevà người đánh cá.
khu vực cụ thể Các lựa chọn
-archivedir
Thư mục lưu trữ chính. Nếu một thư mục lưu trữ quan trọng chưa được chỉ định (trên
dòng lệnh hoặc trong tệp cấu hình DNSSEC-Tools) và -save tùy chọn là không
đưa ra, sau đó người đánh cá sẽ để lại các khóa trong thư mục hiện tại.
Khi các tệp được lưu vào thư mục lưu trữ, các tên tệp hiện có là
thêm dấu thời gian. Dấu thời gian cho biết khi nào các tệp được lưu trữ.
Thư mục này có thể không là thư mục gốc.
-bỏ từ chối
Các KSK hiện bị thu hồi lỗi thời rõ ràng và xóa chúng khỏi tập ký trước đó
từ chức. Điều này loại trừ lẫn nhau từ -nodroprevoked. Nếu không -bỏ từ chối
cũng không -nodroprevoked được đưa ra, sau đó -bỏ từ chối chức năng được giả định ..
-dsdir
Chỉ định một thư mục để lưu trữ dsset. Thư mục này sẽ được tạo nếu nó không
hiện hữu.
Thư mục phải có thể ghi và có thể không là thư mục gốc.
-cái ngựa
Tạo KSK và ZSK mới cho khu vực.
-genksk
Tạo KSK hiện tại mới cho khu vực. Bất kỳ KSK hiện tại nào sẽ được đánh dấu là
lỗi thời. Nếu tùy chọn này không được cung cấp, các KSK cuối cùng được tạo cho khu vực này sẽ là
đã sử dụng.
-genzsk
Tạo ZSK mới cho khu vực. Theo mặc định, ZSK cuối cùng được tạo cho vùng này
sẽ được sử dụng.
-Cứu giúp
Hiển thị thông báo sử dụng.
-Trung gian
Tên tệp để sử dụng cho tệp vùng tạm thời. Tệp vùng sẽ được sao chép vào đây
tệp và sau đó nối các tên khóa.
-keydirectory
Thư mục mà các khóa KSK và ZSK sẽ được lưu trữ. Mặc định là lưu trữ
chìa khóa trong thư mục trong đó người đánh cá được thực thi.
Thư mục này có thể không là thư mục gốc.
-krfile
keyrec để sử dụng trong các tùy chọn xử lý. Xem trang người đàn ông cho
Net :: DNS :: SEC :: Công cụ :: tooloptions.pm để biết thêm chi tiết về tập tin này.
-signet
Tên của bộ ký tên KSK để sử dụng. Nếu tập hợp ký không tồn tại, thì điều này
phải được sử dụng kết hợp với -cái ngựa or -genksk. Tên có thể chứa
chữ và số, dấu gạch dưới, dấu gạch nối, dấu chấm và dấu phẩy.
Tên có thể chứa chữ và số, dấu gạch dưới, dấu gạch nối, dấu chấm và dấu phẩy. Các
tên tập hợp ký mặc định là "khu vực-signet-N", ở đâu khu vực khu vực được ký kết và
N là một số.
If -signet không được chỉ định, sau đó người đánh cá sẽ sử dụng giá trị mặc định và tăng
số cho các bộ ký tiếp theo.
-kskcount
Số lượng khóa KSK để tạo và dùng để ký vùng. Mặc định là
sử dụng một khóa KSK duy nhất.
-kskthư mục
Thư mục mà khóa KSK sẽ được lưu trữ. Mặc định là lưu trữ các khóa trong
thư mục trong đó người đánh cá được thực thi.
Thư mục này có thể không là thư mục gốc.
-ksklife
Thời gian giữa các lần chuyển KSK. Điều này được đo bằng giây.
-newpubksk
Tạo KSK đã xuất bản mới cho khu vực. Mọi KSK đã xuất bản hiện có sẽ được đánh dấu
như lỗi thời.
-nodroprevoked
Tắt rõ ràng các KSK hiện đã bị thu hồi và xóa chúng khỏi ký kết
đặt trước khi từ chức. Điều này loại trừ lẫn nhau từ -bỏ từ chối. Nếu không
-bỏ từ chối cũng không -nodroprevoked được đưa ra, sau đó -bỏ từ chối chức năng là
giả định ..
-nokrfile
Không keyrec tập tin sẽ được tư vấn hoặc tạo.
-norfc5011
Tắt tính năng thu hồi KSK RFC5011 khi lăn hoặc thay thế bộ khóa KSK hiện có. Qua
vỡ nợ, người đánh cá thực hiện thu hồi RFC5011 KSK và tùy chọn này thay thế điều này
hành vi và bất kỳ cài đặt tùy chọn nào trong keyrec tập tin.
-save
Không lưu các khóa lỗi thời vào thư mục lưu trữ khóa. Hành vi mặc định là
lưu các khóa lỗi thời.
-giai đoạn
Chỉ định một tùy chọn cuộn qua dựa trên giai đoạn cuộn qua, trái ngược với việc sử dụng tùy chọn
đặt tên cho hành động cụ thể sẽ được thực hiện. Mục đích của tùy chọn này là mang lại
rõ ràng và hiểu rõ hơn về cách người đánh cá được sử dụng trong quá trình cuộn qua.
Sau đây là ánh xạ giữa -giai đoạn các tùy chọn và các tùy chọn hành động.
Tùy chọn theo giai đoạn Tùy chọn dựa trên hành động
-giai đoạn ksk2 -newpubksk
-pha ksk4 -rollksk
-giai đoạn zsk2 -usezskpub
-giai đoạn zsk4b -rollzsk
-phase zsk4b (không có tùy chọn)
Cảnh báo: Các -giai đoạn chỉ nên sử dụng tùy chọn nếu bạn biết mình đang làm gì.
-rollksk
Buộc di chuyển các phím KSK. Các khóa KSK hiện tại được đánh dấu là Đã lỗi thời và
Các khóa KSK đã xuất bản được đánh dấu là Hiện tại. Khu vực này sau đó được ký kết với tập hợp mới của
Các khóa KSK hiện tại. Nếu khu vực của keyrec không liệt kê một KSK Hiện tại hoặc Đã xuất bản, một
thông báo lỗi được in và người đánh cá ngừng thực hiện.
Khu của keyrec tệp được cập nhật để hiển thị trạng thái khóa mới.
Sản phẩm keyrecs của các phím KSK được điều chỉnh như sau:
Các khóa KSK hiện tại được đánh dấu là Đã lỗi thời.
Các khóa KSK đã xuất bản được đánh dấu là Hiện tại.
Các khóa KSK đã lỗi thời được chuyển vào thư mục lưu trữ.
Nếu quá trình xử lý RFC5011 được bật, thì trình tự cuộn qua KSK được sửa đổi thành
sau:
Các khóa KSK hiện tại được đánh dấu là Đã thu hồi.
Các khóa KSK đã xuất bản được đánh dấu là Hiện tại.
Các khóa KSK đã thu hồi được kiểm tra để xem chúng còn không
trong thời hạn thu hồi của họ. Nếu không, chúng được đánh dấu
như lỗi thời.
Các khóa KSK đã lỗi thời được chuyển vào thư mục lưu trữ.
Cảnh báo: Thời điểm lăn chìa khóa là rất quan trọng. Cần hết sức lưu ý khi sử dụng
tùy chọn này. Trong tương lai, con lăn sẽ tự động hóa quy trình chuyển qua KSK và có thể
được sử dụng để quản lý khía cạnh này của quản lý DNSSEC một cách an toàn.
Cảnh báo: Sử dụng -rollksk chỉ nên sử dụng tùy chọn nếu bạn biết mình đang làm gì.
Cảnh báo: Đây có thể là một tạm thời phương pháp luân chuyển KSK. Nó có thể được thay đổi trong
Tương lai.
-rollmgr
Người quản lý di chuyển của khu vực. Điều này cho thấy rằng khu vực nằm dưới sự kiểm soát của một
quản lý luân chuyển. Nếu người dùng muốn ký một khu vực ở giữa quá trình chờ di chuyển qua
giai đoạn, trường này giúp người đánh cá và người quản lý di chuyển để xác định cách tốt nhất để
xử lý hoạt động ký vùng.
-rollzsk
Buộc di chuột qua các khóa ZSK bằng phương pháp Di chuyển khóa trước khi xuất bản. Các
quá trình cuộn qua điều chỉnh các phím được sử dụng để ký vùng được chỉ định, tạo các khóa mới,
ký vùng bằng các phím thích hợp và cập nhật keyrec tập tin. Pre-
Xuất bản quá trình Rollover Key được mô tả trong Thực tiễn hoạt động DNSSEC
tài liệu.
Ba bộ khóa ZSK được sử dụng trong quá trình cuộn qua: Hiện tại, Đã xuất bản và Mới.
ZSK hiện tại là những ZSK được sử dụng để ký vùng. ZSK đã xuất bản có sẵn
trong dữ liệu vùng và do đó trong dữ liệu vùng được lưu trong bộ nhớ cache, nhưng chưa được sử dụng để ký
vùng. Các ZSK mới không có sẵn trong dữ liệu vùng cũng như chưa được sử dụng để ký vùng, nhưng được
chờ đợi trong đôi cánh để sử dụng trong tương lai.
Sản phẩm keyrecs của các phím ZSK được điều chỉnh như sau:
Các khóa ZSK hiện tại được đánh dấu là lỗi thời.
Các khóa ZSK đã xuất bản được đánh dấu là Hiện tại.
Các khóa ZSK Mới, nếu chúng tồn tại, được đánh dấu là Đã xuất bản.
Một bộ khóa ZSK khác được tạo, sẽ là
được đánh dấu là các khóa ZSK Mới.
Trường zsklife của khóa ZSK đã xuất bản được sao chép vào
keyrecs của các phím ZSK mới.
Các khóa ZSK lỗi thời được chuyển vào thư mục lưu trữ.
Tóm tắt nhanh về lăn ZSK thích hợp (mà con lăn có ích cho bạn nếu bạn sử dụng nó):
- chờ tối đa 2 * (TTL trong vùng)
- chạy zoneigner bằng -usezskpub
- chờ tối đa 2 * (TTL trong vùng)
- chạy zoneigner bằng -rollzsk
- chờ tối đa 2 * (TTL trong vùng)
Cảnh báo: Thời điểm lăn chìa khóa là rất quan trọng. Cần hết sức lưu ý khi sử dụng
tùy chọn này. con lăn tự động hóa quy trình di chuột qua và có thể được sử dụng để thực hiện một cách an toàn
quan tâm đến khía cạnh này của quản lý DNSSEC. Sử dụng -rollzsk tùy chọn chỉ nên là
được sử dụng nếu bạn biết mình đang làm gì.
-showkeycmd
Hiển thị lệnh tạo khóa thực tế (với các tùy chọn và đối số)
Thực thi. Đây là một tập con nhỏ của đầu ra cấp 3 dài dòng.
-showsigncmd
Hiển thị lệnh ký vùng thực tế (với các tùy chọn và đối số) được thực thi.
Đây là một tập con nhỏ của đầu ra cấp 3 dài dòng.
-chỉ dấu
Ký vùng mà không cần thực hiện bất kỳ thao tác tạo khóa hoặc chuyển khóa nào. Các
các phím được sử dụng gần đây nhất người đánh cá ký của khu vực này sẽ là chìa khóa được sử dụng cho
ký kết này.
-signet
Tên của bộ ký ZSK để sử dụng làm bộ ký ZSK Hiện tại. Khu vực này là
đã ký và bộ ký đã cho sẽ trở thành bộ ký ZSK Hiện tại mới của khu vực. Nếu như
tập ký không tồn tại, thì điều này phải được sử dụng cùng với
-cái ngựa or -genzsk.
Tên có thể chứa chữ và số, dấu gạch dưới, dấu gạch nối, dấu chấm và dấu phẩy. Các
tên tập hợp ký mặc định là "khu vựcbảng hiệu-N", ở đâu khu vực khu vực được ký kết và N
là một số.
If -signet không được chỉ định, sau đó người đánh cá sẽ sử dụng giá trị mặc định và tăng
số cho các bộ ký tiếp theo.
-ngưỡng
Ký vùng nếu điều kiện ngưỡng được đáp ứng. Tùy thuộc vào ngưỡng như thế nào
được chỉ định, nó có thể liên quan đến lần cuối cùng khu vực được ký kết hoặc với khu vực của
ngày hết hạn.
ngưỡng thời gian là giá trị ngưỡng, được cung cấp dưới dạng giá trị số, với đơn vị tùy chọn
người chỉ định. Đơn vị có thể là 's', 'm', 'h' hoặc 'd', cho giây, phút, giờ hoặc
ngày. Nếu đơn vị không được đưa ra, thì giá trị tính bằng giây. Giá trị ngưỡng
phải có tiền tố '-' hoặc tiền tố '+' để cho biết ngưỡng nào để
đo lường. Giá trị ngưỡng + 10ngày đề cập đến mười ngày trước khi hết hạn của một khu vực
ngày.
Nếu tiền tố '-' được sử dụng, thì vùng sẽ được ký lại nếu người đánh cá được thực hiện
không nhiều hơn ngưỡng thời gian sau lần cuối cùng khu vực được ký kết. ngưỡng thời gian
được xác định bằng cách trừ giá trị ngưỡng cho nửa đêm sắp tới. Nếu điều này
sẽ đặt ngưỡng thời gian trong tương lai, sau đó nó được tính từ hiện tại
thời gian.
Nếu tiền tố '+' được sử dụng, thì vùng sẽ được ký lại nếu người đánh cá được thực hiện
không nhiều hơn ngưỡng thời gian trước ngày hết hạn của khu vực. ngưỡng thời gian is
được xác định bằng cách trừ giá trị ngưỡng của nửa đêm trước đó. Nếu điều này
sẽ đặt ngưỡng thời gian trong quá khứ thì tính từ thời điểm hiện tại.
-sử dụng cả hai
Sử dụng hiện tại và Đã xuất bản ZSK để ký vùng.
-usezskpub
Sử dụng các ZSK đã xuất bản hiện có để ký vùng.
-Phiên bản
Hiển thị thông tin phiên bản cho người đánh cá và gói DNSSEC-Tools.
-bèo thuyền
Đầu ra chi tiết sẽ được đưa ra. Như các trường hợp khác của -bèo thuyền được đưa ra theo lệnh
dòng, mức độ chi tiết bổ sung đạt được.
mức sản lượng
----- ------
1 hoạt động đang được thực hiện
(ví dụ: tạo tệp khóa, vùng ký)
2 chi tiết về hoạt động và một số kết quả hoạt động
(ví dụ: tên khóa mới, số sê-ri vùng)
3 tham số hoạt động và chi tiết bổ sung
(ví dụ: độ dài khóa, thuật toán mã hóa,
lệnh đã thực thi)
Mức độ chi tiết cao hơn được tích lũy. Chỉ định hai trường hợp của -bèo thuyền sẽ
lấy sản lượng từ mức đầu ra thứ nhất và thứ hai.
-xc Hiển thị một tin nhắn được liên kết với một người đánh cá giá trị thoát. Tùy chọn này là nhằm mục đích
để sử dụng bởi những chương trình muốn người đánh cá để chạy một cách im lặng, nhưng cần một
mô tả tại sao người đánh cá đã thoát với một lỗi.
Sau đây là các mã thoát và thông báo liên quan của chúng.
0 - thực hiện thành công
1 - -rfc5011 và -norfc5011 có thể không được chỉ định cùng nhau
2 - -droprevoked và -nodroprevoked có thể không được chỉ định cùng nhau
3 - -keydirectory và -kskdirectory có thể không được chỉ định cùng nhau
4 - -keydirectory và -zskdirectory có thể không được chỉ định cùng nhau
5 - Số lượng KSK phải dương tính
6 - Số ZSK phải là số dương
7 - không có thư mục lưu trữ chính nào được chỉ định
8 - thư mục lưu trữ chính không phải là một thư mục
9 - thư mục lưu trữ khóa không được /
10 - -savekeys và -nosave có thể không được chỉ định cùng nhau
11 - thư mục KSK hoặc ZSK được chỉ định không chính xác
12 - hoặc một KSK được chỉ định hoặc một thư mục ZSK được chỉ định không phải là một thư mục
13 - cả thư mục KSK và ZSK đều không thể là thư mục gốc
14 - tệp vùng, tệp đầu ra và tệp trung gian đều phải có tên riêng biệt
15 - tệp vùng không tồn tại
16 - tệp vùng trống
17 - tệp khu vực đã được ký
18 - bộ ký được chỉ định không tồn tại
19 - Bộ ký ZSK hiện tại được chỉ định không tồn tại
20 - bộ ký ZSK đã xuất bản được chỉ định không tồn tại
21 - tên tập hợp ký mới được chỉ định đã tồn tại
22 - bộ ký kết KSK được chỉ định đã tồn tại
23 - không có tập ký KSK nào được chỉ định
24 - Bộ ký tên KSK hiện tại được chỉ định không tồn tại
25 - bộ ký tên KSK đã xuất bản được chỉ định không tồn tại
26 - không thể tạo tệp khóa KSK
27 - ZSK keyrec không tồn tại trong tệp keyrec
28 - không thể tạo tệp khóa ZSK
29 - không thể lưu trữ khóa vì thư mục lưu trữ khóa không phải là một thư mục
30 - Kho lưu trữ KSK không phải là một thư mục
31 - Kho lưu trữ ZSK không phải là một thư mục
32 - không thể cập nhật số sê-ri trong tệp vùng
33 - nội dung đã sửa đổi của tệp vùng trống
34 - không thể ký vùng
35 - không có KSK đã xuất bản nào được tạo
36 - vùng không có ZSK đã xuất bản nào để chuyển sang ZSK hiện tại
37 - không có khóa nào được xác định cho một bộ ký cụ thể cho vùng
38 - không tồn tại keyrec cho bộ ký bắt buộc
39 - lỗi trong tệp keyrec - keyrec tập ký cụ thể không phải là keyrec đã đặt
40 - bộ ký được chỉ định không chứa bất kỳ khóa nào
41 - không tồn tại keyrec key cho một key cụ thể
42 - keyrec của key được chỉ định có kiểu không mong muốn
43 - tin nhắn sử dụng được in
44 - mã thoát không hợp lệ được cấp cho -xc
45 - vùng kiểm tra có tên trả về lỗi
46 - không thể tạo thư mục lưu trữ dsset
47 - thư mục lưu trữ dsset không phải là thư mục
48 - thư mục lưu trữ dsset không thể ghi
49 - thư mục lưu trữ dsset không được /
50 - ngưỡng không hợp lệ
51 - ngày kết thúc định dạng không hợp lệ
Thông báo lỗi sẽ được in nếu mã thoát không hợp lệ được cung cấp.
-Cthulhu
Tùy chọn này chỉ dành cho mục đích sử dụng nội bộ và không bao giờ được sử dụng bởi người dùng. Nếu điều này
cảnh báo bị bỏ qua, sau đó những nỗi kinh hoàng không xác định, không thể đặt tên có thể được truy cập vào
các tệp khu vực của bạn. Không được dùng.
-vùng
Tên của khu vực sẽ được ký. Tên vùng này có thể được cung cấp với tùy chọn này hoặc
làm đối số dòng lệnh không phải tùy chọn đầu tiên. Trong trường hợp thứ hai, nếu đối số
chứa các dấu phân cách thư mục, sau đó phần tử cuối cùng của đường dẫn sẽ được sử dụng cho
tên khu vực.
-zskcount
Số lượng khóa ZSK để tạo và ký vùng. Mặc định là
sử dụng một khóa ZSK duy nhất.
-zskthư mục
Thư mục mà khóa ZSK sẽ được lưu trữ. Mặc định là lưu trữ các khóa trong
thư mục trong đó người đánh cá được thực thi.
Thư mục này có thể không là thư mục gốc.
-zsklife
Thời gian giữa các lần chuyển ZSK. Điều này được đo bằng giây.
dnssec-keygen-cụ thể Các lựa chọn
-thuật toán
Thuật toán mật mã được sử dụng để tạo các khóa của khu vực. Giá trị mặc định là
RSASHA1. Giá trị tùy chọn được chuyển đến dnssec-keygen như -a lá cờ. Tham khảo ý kiến dnssec-
bàn phímtrang hướng dẫn sử dụng để xác định giá trị pháp lý.
-kgopt
Các tùy chọn bổ sung cho dnssec-keygen có thể được chỉ định bằng cách sử dụng tùy chọn này. Các
các tùy chọn bổ sung được chuyển dưới dạng một giá trị chuỗi đơn như một đối số cho -kgopt
tùy chọn.
-ksklength
Độ dài bit của khóa KSK của vùng. Giá trị mặc định là 2048.
-nsec3optout
Khi lá cờ này và -usesensec3 cờ được đặt, vùng sẽ được ký bằng Opt-
Không hỗ trợ được mô tả trong RFC5155. Tóm tắt nhanh là chỉ các miền phụ có
DS hoặc khóa công khai có sẵn sẽ được ký và phần còn lại sẽ không. Điều này rất nhiều
giảm yêu cầu tính toán và bộ nhớ của các khu vực cực kỳ lớn với rất nhiều
của những đứa trẻ không dấu.
-ngẫu nhiên
Nguồn ngẫu nhiên được sử dụng để tạo khóa của khu vực. Đây được giả định là một tệp,
ví dụ / dev / urandom.
-usesensec3
Ký hiệu khu vực sử dụng NSEC3 (xem RFC5155) hồ sơ bằng chứng không tồn tại hơn là
NSEC Hồ sơ. Các phím được sử dụng để ký vùng phải hỗ trợ việc sử dụng NSEC3 hoặc các phím khác
ký vùng sẽ không thành công. Zonesigner sẽ tự động tạo các khóa mới của
đúng loại nếu một trong những -cái ngựa hoặc các tùy chọn tương tự được sử dụng.
-zsklength
Độ dài bit của khóa ZSK của vùng. Giá trị mặc định là 1024.
dnssec-signzone-cụ thể Các lựa chọn
-thời gian kết thúc
Thời gian mà khu vực này hết hạn, được đo từ thời điểm hiện tại. Nếu cho dưới dạng số,
nó là một số giây. Nếu nó được cho là một số theo sau là 's', 'm', 'h' hoặc
'd', sau đó là số giây, phút, giờ hoặc ngày. Giá trị mặc định là
2764800 giây (32 ngày.)
-Sype
Buộc dnssec-signzone để tạo các bản ghi DS cho khu vực. Tùy chọn này đã được dịch
trong -g khi được chuyển đến dnssec-signzone.
Tùy chọn này đã lỗi thời. Bản ghi DS được tạo theo mặc định. Sử dụng -cũng
tùy chọn nếu bản ghi DS không được tạo.
-ksdir
Chỉ định một thư mục để lưu trữ bộ bàn phím. Điều này được chuyển cho dnssec-signzone như -d
tùy chọn.
-cũng
Ngăn chặn dnssec-signzone từ việc tạo bản ghi DS cho khu vực.
-szopts
Các tùy chọn bổ sung cho dnssec-signzone có thể được chỉ định bằng cách sử dụng tùy chọn này. Các
các tùy chọn bổ sung được chuyển dưới dạng một giá trị chuỗi đơn như một đối số cho -szopts
tùy chọn.
Giá trị mặc định cho tùy chọn này là "-i local", được đặt trong mặc định.pm. Giá trị này có
được thấy là cải thiện đáng kể lượng thời gian vùng kiểm tra có tên chạy.
Nền tảng khác Các lựa chọn
-zcopt
Các tùy chọn bổ sung cho vùng kiểm tra có tên có thể được chỉ định bằng cách sử dụng tùy chọn này. Các
các tùy chọn bổ sung được chuyển dưới dạng một giá trị chuỗi đơn như một đối số cho -zcopt
tùy chọn.
VÍ DỤ
Ví dụ 1.
Trong ví dụ đầu tiên, một keyrec tệp được sử dụng để hỗ trợ việc ký example.com
miền. Dữ liệu vùng được lưu trữ trong example.comvà keyrec ở trong ví dụ.krf. Trận chung kết
tập tin khu vực đã ký sẽ được db.example.com.signed. Sử dụng thực thi này:
# zoneigner -krfile example.krf example.com db.example.com.signed
các tệp sau được tạo:
Kexample.com. + 005 + 45842. riêng tư
Kexample.com. + 005 + 45842. khóa
Kexample.com. + 005 + 50186. riêng tư
Kexample.com. + 005 + 50186. khóa
Kexample.com. + 005 + 59143. riêng tư
Kexample.com. + 005 + 59143. khóa
dsset-example.com.
keyet-example.com.
db.example.com.signed
Sáu tệp đầu tiên là khóa KSK và ZSK cần thiết cho khu vực. Hai tệp tiếp theo
được tạo ra bởi quá trình ký vùng. Tệp cuối cùng là tệp vùng ký cuối cùng.
Ví dụ 2.
Trong ví dụ thứ hai, một keyrec tệp được sử dụng để hỗ trợ ký kết
miền example.com. Dữ liệu vùng được lưu trữ trong example.comvà keyrec ở trong
ví dụ.krf. Các khóa được tạo, tệp vùng trung gian và tệp vùng đã ký cuối cùng
sẽ sử dụng example.com làm cơ sở. Sử dụng thực thi này:
# zoneigner -krfile example.krf -inter Instant example.zs example.com
các tệp sau được tạo:
Kdb.example.com. + 005 + 12354. khóa
Kdb.example.com. + 005 + 12354. riêng tư
Kdb.example.com. + 005 + 82197. khóa
Kdb.example.com. + 005 + 82197. riêng tư
Kdb.example.com. + 005 + 55888. khóa
Kdb.example.com. + 005 + 55888. riêng tư
dsset-db.example.com.
keyet-db.example.com.
ví dụ.zs
ví dụ.com.signed
Sáu tệp đầu tiên là khóa KSK và ZSK cần thiết cho khu vực. Hai tệp tiếp theo
được tạo ra bởi quá trình ký vùng. Tệp cuối cùng thứ hai là tệp trung gian
điều đó sẽ được ký kết. Tệp cuối cùng là tệp là vùng được ký cuối cùng.
Ví dụ 3.
Trong ví dụ thứ ba, không keyrec tệp được chỉ định để ký example.com
miền. Ngoài các tệp được tạo như được hiển thị trong các ví dụ trước, một tệp mới keyrec tập tin là
tạo. Cái mới keyrec tệp sử dụng tên miền làm cơ sở của nó. Sử dụng thực thi này:
# zoneigner example.com db.example.com
sau đây keyrec tệp được tạo:
ví dụ.com.krf
Tệp vùng đã ký được tạo trong:
db.example.com
Ví dụ 4.
Ví dụ này cho thấy một keyrec tệp được tạo bởi người đánh cá.
Lệnh được thực thi là:
# zoneigner example.com db.example.com
Tạo ra keyrec tập tin chứa sáu keyrecs: một khu vực keyrec, hai bộ keyrecs, một KSK
keyrecvà hai ZSK keyrecs.
vùng "example.com"
zonefile "example.com"
sigzone "db.example.com"
thời gian kết thúc "+2764800"
kskcur "example.com.signset-24"
kskdirectory "."
zskcur "example.com.signset-42"
zskpub "example.com.signset-43"
zskdirectory "."
keyrec_type "vùng"
keyrec_signsecs "1115166642"
keyrec_signdate "Thứ tư ngày 4 tháng 00 30:42:2005 năm XNUMX"
đặt "example.com.signset-24"
tên vùng "example.com"
phím "Kexample.com. + 005 + 24082"
keyrec_setsecs "1110000042"
keyrec_setdate "Thứ bảy, 5 tháng 05, 20:42:2005 XNUMX"
đặt "example.com.signset-42"
tên vùng "example.com"
phím "Kexample.com. + 005 + 53135"
keyrec_setsecs "1115166640"
keyrec_setdate "Thứ tư ngày 4 tháng 00 30:40:2005 năm XNUMX"
đặt "example.com.signset-43"
tên vùng "example.com"
phím "Kexample.com. + 005 + 13531"
keyrec_setsecs "1115166641"
keyrec_setdate "Thứ tư ngày 4 tháng 00 30:41:2005 năm XNUMX"
phím "Kexample.com. + 005 + 24082"
tên vùng "example.com"
keyrec_type "kskcur"
thuật toán "rsasha1"
ngẫu nhiên "/ dev / urandom"
keypath "./Kexample.com.+005+24082.key"
ksklength "2048"
ksklife "15768000"
keyrec_gensecs "1110000042"
keyrec_gendate "Thứ bảy, 5 tháng 05, 20:42:2005 XNUMX"
phím "Kexample.com. + 005 + 53135"
tên vùng "example.com"
keyrec_type "zskcur"
thuật toán "rsasha1"
ngẫu nhiên "/ dev / urandom"
keypath "./Kexample.com.+005+53135.key"
zsklength "1024"
zsklife "604800"
keyrec_gensecs "1115166638"
keyrec_gendate "Thứ 4 ngày 00 tháng 30 38:2005:XNUMX XNUMX"
phím "Kexample.com. + 005 + 13531"
tên vùng "example.com"
keyrec_type "zskpub"
thuật toán "rsasha1"
ngẫu nhiên "/ dev / urandom"
keypath "./Kexample.com.+005+13531.key"
zsklength "1024"
zsklife "604800"
keyrec_gensecs "1115166638"
keyrec_gendate "Thứ 4 ngày 00 tháng 30 38:2005:XNUMX XNUMX"
GHI CHÚ
1. Một khu vực trong một keyrec Tập tin
Có một lỗi trong mã thiết lập ký tên yêu cầu chỉ lưu trữ một vùng trong
keyrec tập tin.
2. Số sê-ri SOA
Số sê-ri trong bản ghi SOA chỉ được tăng lên trong phiên bản này. Các kế hoạch trong tương lai
là để cho phép thao tác số sê-ri linh hoạt hơn.
BẢN QUYỀN
Bản quyền 2004-2014 SPARTA, Inc. Mọi quyền được bảo lưu. Xem tệp SAO CHÉP đi kèm với
gói DNSSEC-Tools để biết thêm chi tiết.
Sử dụng zoneignerp trực tuyến bằng các dịch vụ onworks.net