zonesignerp - 云端在线

程序：

您的姓名

zonesigner - 生成加密密钥并签署 DNS 区域

概要

zonesigner [选项]

# 立即开始使用示例：

# 首先在 example.com 的区域上运行：
zonesigner -genkeys -endtime +2678400 example.com

# future 在到期时间之前运行（重用相同的密钥）：
zonesigner -endtime +2678400 example.com

商品描述

此脚本将签署 DNS 所需的许多操作合并到一个命令中
区。 它生成所需的 KSK 和 ZSK 密钥，将密钥数据添加到区域记录中
文件，签署区域文件，并运行检查以确保一切正常。 它
还保留有关密钥和区域如何签名的记录，以方便重新
未来签署该区域。

这款 区域签名者-特定区域签名记录保存在 密钥记录 文件。 使用 密钥记录
由 DNSSEC 工具定义和维护的文件， 区域签名者 可以自动收集许多
以前用于签名和生成区域及其密钥的选项。 这允许
使用相同的密钥长度和到期时间来维护区域，例如，
无需管理员手动跟踪这些字段。

快 主页

以下是允许快速开始使用的示例 区域签名者:

首先在example.com上运行
以下命令将生成密钥并对 example.com 的区域文件进行签名，
给出未来 31 天的到期日期。 区域文件被命名为 example.com
并且签名的区域文件将被命名 example.com.signed.

zonesigner -genkeys -endtime +2678400 example.com

随后在 example.com 上运行
以下命令将重新签署 example.com 的区域文件，但不会生成新的
键。 文件和所有密钥生成和区域签名参数将保留
相同的。

zonesigner example.com

使用 区域签名者

区域签名者 是这样使用的：

zonesigner [选项]

这款 区域文件 参数是必需的。

区域文件 是将创建签名区域文件的区域文件的名称。 如果
此 -区 没有给出选项，那么 区域文件 将用作区域的名称
将被签署。 生成的密钥以此名称作为其基础。

一旦 区域签名者 已经为区域创建了一组密钥并签署了区域，它可以被使用
在区域文件更改时重新签名。 在没有任何选项的情况下运行时， 区域签名者 将
查阅区域的 keyrec 以找到合适的密钥集，然后签署
与他们指定的区域。

区域文件被修改为具有 包括 命令，其中将包括 KSK 和 ZSK
键。 这些行位于文件的末尾，不应由
用户。 如果区域文件已经包含任何密钥文件，则这些包含的内容将被删除。
这些行的区别在于以“$INCLUDE”开头并以“.key”结尾。 只有
实际的包含行被删除； 任何相关的注释行都保持不变。

中间文件用于签署区域。 区域文件 被复制到中间
文件，并在准备签署区域文件时进行修改。 几行 $INCLUDE 将
添加在文件末尾，SOA 序列号将增加。

签名区 是签名区域文件的名称。 如果没有在命令行中给出，
默认的签名区域文件名是 区域文件 附加“.signed”。 因此，
执行 区域签名者 example.com 将导致签名区域被存储在
example.com.signed.

除非 -genkeys, -根斯克, -根茨克或 -newpubksk 选项被指定，最后一个键
为特定区域生成的将用于后续 区域签名者 处决。 DS
记录将包含在签名操作中，除非 -nogends 选项被使用。

区域签名者 可以与翻转管理器一起使用，例如 滚轮, 提供自动化
区域的管理、其密钥以及区域的签名。 如果一个 滚轮-管理
区域文件更改时 滚轮 正在等待区域翻转开始或翻转阶段
去完成， 区域签名者 可用于使用正确的密钥集对区域进行签名； 滚轮
不会因此受到干扰。

密钥记录 FILES

密钥记录 文件保留有关先前密钥生成和区域签名操作的信息。
如果一个 密钥记录 未指定文件（通过 -kr 文件 选项），然后是默认值 密钥记录
文件被使用。 如果系统的 DNSSEC-Tools 配置中未指定此默认值
文件，文件名将是区域名称附加 .krf。 如果 -nokr 文件 选项是
给定，那么没有 密钥记录 文件将被查阅或保存。

每 密钥记录 包含一组“键/值”条目，每行一个。 下面的示例 4 包含
样本的内容 密钥记录 文件中。

密钥记录 文件包含三种类型的条目： zone 密钥记录s，设置 密钥记录s 和键 密钥记录s.
区 密钥记录s 包含专门关于区域的信息，例如 ZSK 的数量
用于签署区域、区域的结束时间和密钥签名集名称（名称
集 密钥记录s.) 设置 密钥记录s 包含键列表 密钥记录 用于特定目的的名称，
例如当前的 ZSK 密钥或已发布的 ZSK 密钥。 钥匙 密钥记录s 包含信息
关于生成的密钥本身，例如加密算法、密钥长度和密钥
一生。

随着区域进行密钥轮转，将为该区域生成新的加密密钥
区。 各种密钥参数（例如，密钥长度和加密算法）将相同
作为先前用于为该区域生成密钥的参数。 这 键模式 命令
允许根据需要更改这些关键参数。 如果一个特定的参数是
改变了，比如KSK长度从1024变为2048，那么 未来 键会反映
那个变化； 当前和过去的密钥不会被修改。

密钥记录 档 和 RFC5011 KSK 废止
如果启用了 RFC5011 处理，则会对区域集进行特殊处理 密钥记录 of
撤销 KSK 密钥。 区域中的“kskrev”字段 密钥记录 指向一个集合 密钥记录，已标记
作为“kskrev”类型。 这一套 密钥记录，依次指向其他一些集合
密钥记录s，所有这些也被标记为“kskrev”类型。 该组全部撤销
KSK 密钥是通过查询“kskrev”集的附属集找到的 密钥记录s。 当。。。的时候
这些被撤销的密钥的年龄超过了他们的撤销期限，它们被标记为
过时（“kskobs”）。 如果这是正常翻转的一部分，这些撤销的密钥和
集 密钥记录s 全部从 active、revised 链中移除 密钥记录s。 如果这发生在
属于较大密钥集一部分的密钥，将其从该签名集中删除并放入
它自己的新签名集。

熵

在某些系统上，伪随机数生成器的实现需要
键盘活动。 此键盘活动用于填充系统随机的缓冲区
数字生成器。 如果 区域签名者 出现挂起，您可能需要向随机添加熵
数字生成器通过随机敲击键直到程序完成。 这个的展览
消息由控制 熵消息 配置文件参数。

决定 OPTION 王斌金璟閣的價值觀

区域签名者 检查四个位置以确定选项值。 按降序排列
优先，这些地方是：

命令行选项

密钥记录文件

DNSSEC-Tools 配置文件

区域签名者默认值

每个都被检查，直到找到一个值。 然后将该值用于 区域签名者
执行并将值存储在 密钥记录 文件中。

例如：
例如，KSK 长度具有以下值：

-ksklength 命令行选项：8192

密钥记录文件：1024

DNSSEC-Tools 配置文件：512

zonesigner 默认值：2048

如果全部都存在，则 KSK 长度将为 8192。

如果 -ksk长度 未给出命令行选项，KSK 长度将为 1024。

如果配置文件中没有给出 KSK 长度，则为 8192。

如果 KSK 长度不在 密钥记录 文件或配置文件，KSK 长度将
是 8192。

如果 -ksk长度 未给出命令行选项且 KSK 长度不在
配置文件，它将是 1024。

如果未给出命令行选项，则 KSK 长度不在 密钥记录 文件，它
不在配置文件中，那么 KSK 长度将为 512。

配置

根据它们所针对的命令，可以给出三种类型的选项。
这些命令是 dnssec 注册机, dnssec 签名区及 区域签名者.

特定于区域签名者 附加选项
-归档目录
密钥归档目录。 如果未指定密钥存档目录（在
命令行或在 DNSSEC-Tools 配置文件中）和 -不保存 选项是 而不去
给定，那么 区域签名者 将键留在当前目录中。

当文件被保存到归档目录时，现有的文件名是
带有时间戳。 时间戳指示归档文件的时间。

这个目录 五月 而不去 成为根目录。

-drop撤销
明确废弃当前已撤销的 KSK 并将其从之前的签名集中删除
辞职。 这是互斥的 -nodrop撤销. 如果两者都不是 -drop撤销
也不 -nodrop撤销 给出，那么 -drop撤销 假设功能..

-dsdir
指定用于存储 dssets 的目录。 如果没有，将创建此目录
存在。

目录必须是可写的并且 五月 而不去 成为根目录。

-genkeys
为区域生成新的 KSK 和 ZSK。

-根斯克
为区域生成新的当前 KSK。 任何现有的当前 KSK 都将标记为
过时的。 如果未提供此选项，则为该区域生成的最后一个 KSK 将是
用过的。

-根茨克
为区域生成新的 ZSK。 默认情况下，为该区域生成的最后一个 ZSK
将被使用。

-救命
显示使用消息。

-中间的
用于临时区域文件的文件名。 区域文件将复制到此
文件，然后附加密钥名称。

-key目录
将存储 KSK 和 ZSK 密钥的目录。 默认是存储
目录中的键 区域签名者 被执行。

这个目录 五月 而不去 成为根目录。

-kr 文件
密钥记录 用于处理选项的文件。 参见手册页
净::DNS::SEC::工具::tooloptions.pm 有关此文件的更多详细信息。

-ksignset
要使用的 KSK 签名集的名称。 如果签名集不存在，那么这个
必须与两者结合使用 -genkeys or -根斯克. 名称可能包含
字母数字、下划线、连字符、句点和逗号。

该名称可能包含字母数字、下划线、连字符、句点和逗号。 这
默认签名集名称为“区-符号集-N“，在哪里 区 是正在签署的区域吗？
N 是一个数字。

If -ksignset 没有指定，那么 区域签名者 将使用默认值并增加
后续签名集的编号。

-kskcount
要生成和用于签署区域的 KSK 密钥的数量。 默认为
使用单个 KSK 密钥。

-ksk目录
将存储 KSK 密钥的目录。 默认是将密钥存储在
所在的目录 区域签名者 被执行。

这个目录 五月 而不去 成为根目录。

-ksk生活
KSK 轮转之间的时间。 这是以秒为单位测量的。

-newpubksk
为区域生成新的已发布 KSK。 任何现有的已发布 KSK 都将被标记
作为过时。

-nodrop撤销
明确关闭废弃当前已撤销的 KSK 并将其从签名中删除
辞职前设置。 这是互斥的 -drop撤销. 如果两者都不是
-drop撤销 也不 -nodrop撤销 给出，那么 -drop撤销 功能是
假定..

-nokr 文件
没有 密钥记录 文件将被查阅或创建。

-norfc5011
在滚动或替换现有 KSK 密钥集时禁用 RFC5011 KSK 撤销。 经过
默认， 区域签名者 执行 RFC5011 KSK 撤销，此选项取代此
行为和任何选项设置中的 密钥记录 文件中。

-不保存
不要将过时的密钥保存到密钥存档目录。 默认行为是
保存过时的密钥。

-阶段
根据翻转阶段指定翻转选项，而不是使用选项
命名要执行的特定操作。 此选项的目的是使
清晰和更好地理解如何 区域签名者 用于翻转过程。

以下是两者之间的映射 -阶段 选项和操作选项。

阶段选项 基于动作的选项
-阶段ksk2 -newpubksk
-阶段ksk4 -rollksk
-phase zsk2 -usezskpub
-相zsk4b -rollzsk
-phase zsk4b（无选项）

警告： -阶段 仅当您知道自己在做什么时才应使用选项。

-罗尔克斯克
强制转换 KSK 密钥。 当前 KSK 密钥被标记为过时，并且
已发布的 KSK 密钥标记为当前。 然后该区域用新的一组签名
当前 KSK 密钥。 如果该区域的 密钥记录 未列出当前或已发布的 KSK，
打印错误消息并 区域签名者 停止执行。

该区的 密钥记录 文件被更新以显示新的密钥状态。

这款 密钥记录KSK 密钥的 s 调整如下：

当前 KSK 密钥被标记为过时。
已发布的 KSK 密钥标记为当前。
过时的 KSK 密钥将移至存档目录。

如果启用 RFC5011 处理，则 KSK 轮转序列修改为
如下：

当前 KSK 密钥标记为已撤销。
已发布的 KSK 密钥标记为当前。
检查已撤销的 KSK 密钥以查看它们是否仍然存在
在其撤销期限内。 如果没有，它们被标记
作为过时。
过时的 KSK 密钥将移至存档目录。

警告：滚动密钥的时机很关键。 使用时必须非常小心
这个选项。 在将来， 滚轮 将自动化 KSK 轮转流程，并且可能
用于安全地处理 DNSSEC 管理的这一方面。

警告： 使用 -罗尔克斯克 仅当您知道自己在做什么时才应使用选项。

警告: 这可能是 临时 KSK 轮转方法。 它 五月 被改变在
的未来。

-rollmgr
区域的翻转管理器。 这表明该区域处于控制之下
翻车经理。 如果用户希望在滚动等待期间签署区域
阶段，该字段有助于 区域签名者 和翻转经理来确定如何最好地
处理区域签名操作。

-罗尔兹斯克
使用预发布密钥翻转方法强制翻转 ZSK 密钥。 这
翻转过程调整用于签署指定区域的密钥，生成新密钥，
使用适当的密钥对区域进行签名，并更新 密钥记录 文件。 预
DNSSEC 操作实践中描述了发布密钥轮转过程
文档。

轮转过程中使用三组 ZSK 密钥：当前、已发布和新。
当前的 ZSK 是用于签署区域的 ZSK。 已发布的 ZSK 可用
在区域数据中，因此在缓存的区域数据中，但尚未用于签署
区。 新的 ZSK 在区域数据中不可用，也尚未用于对区域进行签名，但
等待未来使用。

这款 密钥记录ZSK 密钥的 s 调整如下：

当前 ZSK 密钥被标记为过时。
已发布的 ZSK 密钥标记为当前。
新的 ZSK 密钥（如果存在）标记为已发布。
生成另一组 ZSK 密钥，这将是
标记为新的 ZSK 密钥。
已发布的 ZSK 密钥的 zsklife 字段被复制到
新的 ZSK 密钥的密钥记录。
过时的 ZSK 密钥移动到存档目录。

正确 ZSK 滚动的快速摘要（其中 滚轮 如果你使用它对你有用）：

- 等待 2 * 最大值（区域内的 TTL）
- 使用 -usezskpub 运行 zonesigner
- 等待 2 * 最大值（区域内的 TTL）
- 使用 -rollzsk 运行 zonesigner
- 等待 2 * 最大值（区域内的 TTL）

警告：滚动密钥的时机很关键。 使用时必须非常小心
这个选项。 滚轮 自动执行翻转过程，可用于安全地采取
关注 DNSSEC 管理的这一方面。 使用 -罗尔兹斯克 选项应该只是
如果您知道自己在做什么，则使用。

-showkeycmd
显示实际的密钥生成命令（带有选项和参数）
执行。 这是详细级别 3 输出的一小部分。

-showsigncmd
显示实际执行的区域签名命令（带有选项和参数）。
这是详细级别 3 输出的一小部分。

-仅签名
在不执行任何密钥生成或密钥翻转操作的情况下签署区域。 这
最近使用的密钥 区域签名者 该区域的签名将是用于
这次签约。

-符号集
用作当前 ZSK 签名集的 ZSK 签名集的名称。 该区域是
签名并且给定的签名集成为区域的新当前 ZSK 签名集。 如果
签名集不存在，那么这必须与任何一个一起使用
-genkeys or -根茨克.

该名称可能包含字母数字、下划线、连字符、句点和逗号。 这
默认签名集名称为“区符号集-N“，在哪里 区 是正在签署的区域吗？ N
是一个数字。

If -符号集 没有指定，那么 区域签名者 将使用默认值并增加
后续签名集的编号。

-临界点
如果满足阈值条件，则对区域进行签名。 取决于阈值如何
指定，它可能相对于区域的最后一次签名或区域的
截止日期。

阈值时间 是阈值，以数值形式给出，带有可选单位
说明符。 单位可以是“s”、“m”、“h”或“d”，表示秒、分、小时或
天。 如果未给出单位，则该值以秒为单位。 阈值
必须具有“-”前缀或“+”前缀以指示要使用的阈值
措施。 阈值 +10天 指区域到期前十天
日期。

如果使用“-”前缀，则区域将被重新签名，如果 区域签名者 被执行
不超过 阈值时间 在最后一次签署区域之后。 阈值时间
通过从即将到来的午夜减去阈值来确定。 如果这
将阈值时间放在未来，然后从当前计算
时间。

如果使用“+”前缀，则区域将被重新签名，如果 区域签名者 被执行
不超过 阈值时间 在该区域的到期日期之前。 阈值时间 is
通过从前一个午夜减去阈值来确定。 如果这
会放 阈值时间 过去，则从当前时间开始计算。

- 两者都用
使用现有的电流 和 发布 ZSK 以签署区域。

-usezskpub
使用现有的已发布 ZSK 对区域进行签名。

-版本
显示版本信息 区域签名者 和 DNSSEC 工具包。

-冗长
将给出详细输出。 随着更多的实例 -冗长 在命令上给出
行，实现了额外的详细程度。

电平输出
----- ------
1 正在执行的操作
（例如，生成密钥文件、签名区）
2 操作细节及部分操作结果
（例如，新的密钥名称、区域序列号）
3 个操作的参数和其他详细信息
（例如，密钥长度、加密算法、
执行的命令）

更高级别的冗长是累积的。 指定两个实例 -冗长 将
从第一级和第二级输出中获取输出。

-xc 显示与一个关联的消息 区域签名者 退出值。 此选项旨在
供那些希望的程序使用 区域签名者 静默运行，但需要一个
原因的描述 区域签名者 已退出并出现错误。

以下是退出代码及其相关消息。

0 - 成功执行
1 - -rfc5011 和 -norfc5011 不能一起指定
2 - -droprevoked 和 -nodroprevoked 不能一起指定
3 - -keydirectory 和 -kskdirectory 不能一起指定
4 - -keydirectory 和 -zskdirectory 不能一起指定
5 - KSK 计数必须为正数
6 - ZSK 计数必须为正数
7 - 未指定密钥存档目录
8 - 关键存档目录不是目录
9 - 关键存档目录不能是 /
10 - -savekeys 和 -nosave 不能一起指定
11 - 错误地指定了 KSK 或 ZSK 目录
12 - 指定的 KSK 或指定的 ZSK 目录不是目录
13 - KSK 和 ZSK 目录都不能是根目录
14 - 区域文件、输出文件和中间文件都必须有不同的名称
15 - 区域文件不存在
16 - 区域文件为空
17 - 区域文件已经签名
18 - 指定的签名集不存在
19 - 指定的当前 ZSK 签名集不存在
20 - 指定的已发布 ZSK 签名集不存在
21 - 指定的新签名集名称已存在
22 - 指定的 KSK 签名集已存在
23 - 未指定 KSK 签名集
24 - 指定的当前 KSK 签名集不存在
25 - 指定的已发布 KSK 签名集不存在
26 - 无法生成 KSK 密钥文件
27 - ZSK keyrec 在 keyrec 文件中不存在
28 - 无法生成 ZSK 密钥文件
29 - 无法归档密钥，因为密钥归档目录不是目录
30 - KSK 存储库不是目录
31 - ZSK 存储库不是目录
32 - 无法更新区域文件中的序列号
33 - 区域文件的修改内容为空
34 - 无法签署区域
35 - 尚未创建已发布的 KSK
36 - 区域没有已发布的 ZSK 可以滚动到当前的 ZSK
37 - 没有为区域的特定签名集定义密钥
38 - 所需的签名集不存在密钥记录
39 - keyrec 文件中的错误 - 特定的签名集 keyrec 不是 set keyrec
40 - 指定的签名集不包含任何密钥
41 - 不存在特定键的键 keyrec
42 - 指定键的 keyrec 具有意外类型
43 - 打印使用信息
44 - 给 -xc 的退出代码无效
45 - 命名检查区返回错误
46 - 无法创建 dsset 存档目录
47 - dsset 存档目录不是目录
48 - dsset 归档目录不可写
49 - dsset 存档目录不能是 /
50 - 无效的阈值
51 - 无效的格式结束日期

如果给出无效的退出代码，将打印一条错误消息。

-克苏鲁
此选项仅供内部使用，不应由用户使用。 如果这
警告被忽略，然后可能会访问未定义的、无法命名的可怕的恐怖
你的区域文件。 不使用。

-区
将被签名的区域的名称。 可以使用此选项指定此区域名称或
作为第一个非选项命令行参数。 在第二种情况下，如果参数
包含目录分隔符，则路径的最后一个元素将用于
区域名称。

-zskcount
要生成和用于对区域进行签名的 ZSK 密钥的数量。 默认为
使用单个 ZSK 密钥。

-zsk目录
将存储 ZSK 密钥的目录。 默认是将密钥存储在
所在的目录 区域签名者 被执行。

这个目录 五月 而不去 成为根目录。

-zsklife
ZSK 轮转之间的时间。 这是以秒为单位测量的。

dnssec-keygen 特定的 附加选项
-算法
用于生成区域密钥的加密算法。 默认值为
RSASHA1。 选项值传递给 dnssec 注册机 作为 -a 旗帜。 咨询 dnssec-
凯基的手册页来确定合法值。

-kgopts
附加选项 dnssec 注册机 可以使用此选项指定。 这
附加选项作为单个字符串值作为参数传递给 -kgopts
选项。

-ksk长度
区域的 KSK 密钥的位长。 默认值为 2048。

-nsec3选择退出
当这个标志和 -usensec3 标志被设置，区域将使用 Opt-
RFC5155 中描述的支持。 一个快速总结是只有具有有效的子域
可用的 DS 或公钥将被签名，其余的则不会。 这大大
减少具有很多的超大区域的计算和内存要求
未签名的孩子。

-随机
用于生成区域密钥的随机源。 这被假定为一个文件，
例如 /开发/ urandom.

-usensec3
使用签名区域 NSEC3 （参见 RFC5155）不存在证明记录而不是
核安全委员会 记录。 用于签署区域的密钥必须支持使用 NSEC3 否则
区域签名将失败。 Zonesigner 将自动生成新的密钥
正确的类型，如果其中之一 -genkeys 或使用类似的选项。

-zsk长度
区域的 ZSK 密钥的位长。 默认值为 1024。

dnssec-signzone 特定的 附加选项
-时间结束
区域到期的时间，从当前时间开始计算。 如果以数字形式给出，
它是秒数。 如果它以数字形式给出，后跟“s”、“m”、“h”或
'd'，则是秒数、分钟数、小时数或天数。 默认值为
2764800 秒（32 天。）

- 性别
力 dnssec 签名区 为区域生成 DS 记录。 此选项已翻译
成 -g 当传递给 dnssec 签名区.

此选项已过时。 DS 记录是默认生成的。 使用 -nogends
选项是否不应生成 DS 记录。

-ksdir
指定用于存储密钥集的目录。 这被传递给 dnssec 签名区 作为 -d
选项。

-nogends
防止 dnssec 签名区 从为该区域生成 DS 记录。

-szopts
附加选项 dnssec 签名区 可以使用此选项指定。 这
附加选项作为单个字符串值作为参数传递给 -szopts
选项。

该选项的默认值是“-i local”，设置在 默认值.pm. 这个值有
被发现大大改善了所需的时间 命名检查区 跑步。

其他 附加选项
-zcopts
附加选项 命名检查区 可以使用此选项指定。 这
附加选项作为单个字符串值作为参数传递给 -zcopts
选项。

示例

示例1。

在第一个例子中，一个现有的 密钥记录 文件用于协助签署example.com
领域。 区域数据存储在 example.com，并且密钥记录在 例子.krf。 决赛
签名区域文件将是 db.example.com.signed. 使用此执行：

# zonesigner -krfile example.krf example.com db.example.com.signed

创建了以下文件：

Kexample.com.+005+45842.private
Kexample.com.+005+45842.key
Kexample.com.+005+50186.private
Kexample.com.+005+50186.key
Kexample.com.+005+59143.private
Kexample.com.+005+59143.key

dsset-example.com。
keyset-example.com。

db.example.com.signed

前六个文件是区域所需的 KSK 和 ZSK 密钥。 接下来的两个文件
由区域签名过程创建。 最后一个文件是最终签名的区域文件。

示例2。

在第二个例子中，一个现有的 密钥记录 文件用于协助签署
example.com 域。 区域数据存储在 example.com，并且密钥记录在
例子.krf. 生成的密钥、中间区域文件和最终签名区域文件
将使用 example.com 作为基地。 使用此执行：

# zonesigner -krfile example.krf -intermediate example.zs example.com

创建了以下文件：

kdb.example.com.+005+12354.key
kdb.example.com.+005+12354.private
kdb.example.com.+005+82197.key
kdb.example.com.+005+82197.private
kdb.example.com.+005+55888.key
kdb.example.com.+005+55888.private

dsset-db.example.com。
密钥集-db.example.com。

例子.zs
example.com.signed

前六个文件是区域所需的 KSK 和 ZSK 密钥。 接下来的两个文件
由区域签名过程创建。 倒数第二个文件是中间文件
那将被签署。 最后一个文件是文件是最终的签名区域。

示例3。

在第三个例子中，没有 密钥记录 文件被指定用于签署example.com
领域。 除了如前面示例中所示创建的文件之外，还有一个新的 密钥记录 文件是
创建。 新的 密钥记录 文件使用域名作为其基础。 使用此执行：

# zonesigner example.com db.example.com

下列 密钥记录 创建文件：

例子.com.krf

签名区域文件在以下位置创建：

db.example.com

示例4。

这个例子显示了一个 密钥记录 生成的文件 区域签名者.

执行的命令是：

# zonesigner example.com db.example.com

产生的 密钥记录 文件包含六个 密钥记录s：一个区域 密钥记录, 两套 密钥记录s, 一个 KSK
密钥记录, 和两个 ZSK 密钥记录s.

区域“example.com”
区域文件“example.com”
签名区域“db.example.com”
结束时间“+2764800”
kskcur "example.com.signset-24"
ksk目录“.”
zskcur "example.com.signset-42"
zskpub "example.com.signset-43"
zsk目录“.”
keyrec_type“区域”
keyrec_signsecs "1115166642"
keyrec_signdate "4 年 00 月 30 日星期三 42:2005:XNUMX"

设置“example.com.signset-24”
区域名称“example.com”
键“Kexample.com.+005+24082”
keyrec_setsecs "1110000042"
keyrec_setdate "5 年 05 月 20 日星期六 42:2005:XNUMX"

设置“example.com.signset-42”
区域名称“example.com”
键“Kexample.com.+005+53135”
keyrec_setsecs "1115166640"
keyrec_setdate "4 年 00 月 30 日星期三 40:2005:XNUMX"

设置“example.com.signset-43”
区域名称“example.com”
键“Kexample.com.+005+13531”
keyrec_setsecs "1115166641"
keyrec_setdate "4 年 00 月 30 日星期三 41:2005:XNUMX"

键“Kexample.com.+005+24082”
区域名称“example.com”
keyrec_type "kskcur"
算法“rsasha1”
随机“/dev/urandom”
密钥路径“./Kexample.com.+005+24082.key”
ksklength "2048"
ksklife“15768000”
keyrec_gensecs "1110000042"
keyrec_gendate "5 年 05 月 20 日星期六 42:2005:XNUMX"

键“Kexample.com.+005+53135”
区域名称“example.com”
keyrec_type "zskcur"
算法“rsasha1”
随机“/dev/urandom”
密钥路径“./Kexample.com.+005+53135.key”
zsklength "1024"
zsklife“604800”
keyrec_gensecs "1115166638"
keyrec_gendate "4 年 00 月 30 日星期三 38:2005:XNUMX"

键“Kexample.com.+005+13531”
区域名称“example.com”
keyrec_type "zskpub"
算法“rsasha1”
随机“/dev/urandom”
密钥路径“./Kexample.com.+005+13531.key”
zsklength "1024"
zsklife“604800”
keyrec_gensecs "1115166638"
keyrec_gendate "4 年 00 月 30 日星期三 38:2005:XNUMX"

附注

1. 一个区域 密钥记录 文件
签名集代码中存在一个错误，它只需要在一个区域中存储一个区域
密钥记录 文件中。

2. SOA 序列号
SOA 记录中的序列号在此版本中仅递增。 未来的计划
是为了允许更灵活的序列号操作。

版权

版权所有 2004-2014 SPARTA, Inc. 保留所有权利。 请参阅随附的 COPYING 文件
有关详细信息，请参阅 DNSSEC-Tools 包。

使用 onworks.net 服务在线使用 zonesignerp