هذا هو الأمر ldns-dane الذي يمكن تشغيله في مزود الاستضافة المجانية OnWorks باستخدام إحدى محطات العمل المجانية المتعددة على الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
ldns-dane - تحقق من أو أنشئ مصادقة TLS مع DANE (RFC6698)
موجز
ldns-dane [والخيارات] تحقق من الاسم ميناء
ldns-dane [والخيارات] -t تلسافيل تحقق من
ldns-dane [والخيارات] الاسم ميناء خلق
[ استخدام الشهادة [ منتقى [ نوع المطابقة ]]]
ldns-dane -h
ldns-dane -v
الوصف
في الشكل الأول: اتصال TLS بـ الاسم:ميناء تم إنشاؤه. مورد TLSA
سجل (سجلات) ل الاسم تستخدم لمصادقة الاتصال.
في النموذج الثاني: تتم قراءة سجل (سجلات) TLSA من تلسافيل وتستخدم لمصادقة
يشيرون إلى خدمة TLS.
في الشكل الثالث: اتصال TLS بـ الاسم:ميناء تم إنشاؤه واستخدامه لإنشاء
سجل (سجلات) مورد TLSA الذي من شأنه أن يصادق على الاتصال. معلمات TLSA
إنشاء rr هي:
استخدام الشهادة:
0 CA قيد
1 قيد شهادة الخدمة
2 تأكيد مرساة الثقة
3 شهادة صادرة عن المجال (افتراضي)
منتقى:
0 شهادة كاملة (افتراضي)
1 الموضوع
نوع المطابقة:
0 لم يتم استخدام أي تجزئة
1 SHA-256 (افتراضي)
2 شا-512
بدلاً من الأرقام ، يمكن استخدام الأحرف القليلة الأولى من القيمة. باستثناء التجزئة
اسم الخوارزمية ، حيث يجب تحديد الاسم الكامل.
OPTIONS
-4 TLS قم بتوصيل IPv4 فقط
-6 TLS قم بتوصيل IPv6 فقط
-a العنوان
لا تحاول حل المشكلة الاسم، ولكن اتصل بـ العنوان بدلا من ذلك.
يمكن أن يعطى هذا الخيار أكثر من مرة.
-ب طباعة "الاسم. النوع 52 \ # المقاس سداسية البيانات"بدلاً من تنسيق عرض TLSA.
-c سيرتفيل
لا تتصل بـ TLS الاسم:ميناء، ولكن قم بالمصادقة (أو إنشاء سجلات TLSA) لملف
شهادة (سلسلة) في سيرتفيل بدلا من ذلك.
-d افترض صلاحية DNSSEC حتى عندما تم الحصول على سجلات TLSA غير آمنة أو كانت كذلك
زائف.
-f ملف
استخدم CAfile للتحقق.
-h تعليمات الاستخدام القصير للطباعة
-i التفاعل بعد الاتصال.
-k ملف مفتاح
حدد ملفًا يحتوي على DNSKEY موثوق به أو DS rr. يتم استخدام المفتاح (المفاتيح) عندما
مطاردة التوقيعات (أي -S معطى).
يمكن أن يعطى هذا الخيار أكثر من مرة.
أو بدلاً من ذلك -k لم يتم تحديده ، وهو مرساة ثقة افتراضية
(/etc/unbound/root.key) موجود ويحتوي على سجل DNSKEY أو DS صالح ، سيكون كذلك
تستخدم كمرساة ثقة.
-n هل ليست تحقق من اسم الخادم في الشهادة.
-o عوض
عند إنشاء سجل مورد TLSA "تأكيد رابط الثقة" ، حدد ملف عوضth
تمت إزاحة الشهادة من نهاية سلسلة التحقق من الصحة. 0 يعني الأخير
الشهادة ، 1 ولكن الأخيرة ، 2 الثانية ولكن الأخيرة ، إلخ.
متى عوض هو -1 (الافتراضي) ، يتم استخدام الشهادة الأخيرة (مثل 0) ذلك
يجب أن يكون موقعًا ذاتيًا. يمكن أن يساعد هذا في التأكد من أن المقصود (توقيع ذاتيًا)
الثقة موجودة بالفعل في سلسلة شهادات الخادم (وهي DANE
المتطلبات).
-p كباث
استخدم الشهادات في ملف كباث دليل للتحقق.
-s عند إنشاء سجلات موارد TLSA باستخدام "CA Constraint" و "Service
قيد الشهادة "، استخدام الشهادة ، لا تتحقق وتفترض أن PKIX هي
صالح.
بالنسبة لـ "CA Constraint" ، فهذا يعني أن التحقق يجب أن ينتهي بتوقيع ذاتي
شهادة.
-S Chase التوقيع (التوقيعات) إلى مفتاح معروف.
بدون هذا الخيار ، تكون الشبكة المحلية موثوقة لتوفير محلل DNSSEC
(أي يتم فحص بت AD).
-t تلسافيل
اقرأ سجل (سجلات) TLSA من تلسافيل. عندما الاسم و ميناء يتم أيضًا تقديم TLSA فقط
السجلات التي تتطابق مع الاسم, ميناء و النقل يستخدم. خلاف ذلك اسم المالك
من سجل (سجلات) TLSA لتحديد الاسم, ميناء و النقل .
-T عودة حالة الخروج 2 لاتصالات PKIX التي تم التحقق من صحتها بدون TLSA (آمن)
السجلات
-u استخدم نقل UDP بدلاً من TCP.
-v عرض الإصدار والخروج.
استخدم ldns-dane عبر الإنترنت باستخدام خدمات onworks.net
