Dies ist der Befehl ldns-dane, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
ldns-dane – TLS-Authentifizierung mit DANE überprüfen oder erstellen (RFC6698)
ZUSAMMENFASSUNG
ldns-dane [OPTIONEN] überprüfen Name port
ldns-dane [OPTIONEN] -t tlsafile überprüfen
ldns-dane [OPTIONEN] Name port erstellen
[ Zertifikatsverwendung [ Wähler [ Passender Typ ] ] ]
ldns-dane -h
ldns-dane -v
BESCHREIBUNG
In der ersten Form: Eine TLS-Verbindung zu Name:port ist festgelegt. Die TLSA-Ressource
Datensatz(s) für Name werden zur Authentifizierung der Verbindung verwendet.
In der zweiten Form: Der/die TLSA-Datensatz(e) werden gelesen tlsafile und zur Authentifizierung verwendet
TLS-Dienst, auf den sie verweisen.
In der dritten Form: Eine TLS-Verbindung zu Name:port wird erstellt und zur Erstellung des verwendet
TLSA-Ressourcendatensätze, die die Verbindung authentifizieren würden. Die Parameter für TLSA
rr-Erstellung sind:
Zertifikatsverwendung:
0 CA-Einschränkung
1 Einschränkung des Dienstzertifikats
2 Vertrauensanker-Behauptung
3 Von der Domäne ausgestelltes Zertifikat (Standard)
Wähler:
0 Vollständiges Zertifikat (Standard)
1 SubjectPublicKeyInfo
Passender Typ:
0 Kein Hash verwendet
1 SHA-256 (Standard)
2 SHA-512
Anstelle von Zahlen können auch die ersten Buchstaben des Wertes verwendet werden. Bis auf den Hash
Algorithmusname, wobei der vollständige Name angegeben werden muss.
OPTIONAL
-4 TLS verbindet nur IPv4
-6 TLS verbindet nur IPv6
-a Adresse
Versuchen Sie nicht, eine Lösung zu finden Name, aber verbinden Sie sich mit Adresse stattdessen.
Diese Option kann mehrmals angegeben werden.
-b drucken "Name. TYP52 \# Größe Hexdaten"-Formular anstelle des TLSA-Präsentationsformats.
-c Zertifikatsdatei
Stellen Sie keine TLS-Verbindung her Name:port , aber authentifizieren (oder erstellen Sie TLSA-Einträge) für die
Zertifikat (Kette) in Zertifikatsdatei stattdessen.
-d Nimmt die DNSSEC-Gültigkeit an, auch wenn die TLSA-Einträge unsicher waren oder waren
falsch.
-f CA-Datei
Verwenden Sie CAfile zur Validierung.
-h Gibt eine kurze Hilfe zur Verwendung aus
-i Interagieren Sie nach dem Herstellen der Verbindung.
-k Schlüsseldatei
Geben Sie eine Datei an, die einen vertrauenswürdigen DNSKEY oder DS rr enthält. Schlüssel werden verwendet, wenn
Unterschriftenjagd (z.B -S gegeben ist).
Diese Option kann mehrmals angegeben werden.
Alternativ, wenn -k ist nicht angegeben und ein Standard-Vertrauensanker
(/etc/unbound/root.key) existiert und einen gültigen DNSKEY- oder DS-Eintrag enthält, wird dies der Fall sein
als Vertrauensanker verwendet.
-n Do nicht Überprüfen Sie den Servernamen im Zertifikat.
-o Offset
Wählen Sie beim Erstellen eines TLSA-Ressourceneintrags „Trust Anchor Assertion“ die Option aus Offsetth
Zertifikat-Offset vom Ende der Validierungskette. 0 bedeutet der letzte
Zertifikat, 1 das vorletzte, 2 das vorletzte usw.
Wann Offset ist -1 (Standard), das letzte Zertifikat wird verwendet (wie bei 0).
MUSS selbstsigniert sein. Dadurch kann sichergestellt werden, dass die beabsichtigte (selbstsignierte)
Der Vertrauensanker ist tatsächlich in der Serverzertifikatskette vorhanden (bei der es sich um einen DANE handelt).
Anforderung).
-p CApath
Verwenden Sie Zertifikate im CApath Verzeichnis zur Validierung.
-s Beim Erstellen von TLSA-Ressourcendatensätzen mit der „CA-Einschränkung“ und dem „Service
Zertifikatsverwendung „Zertifikateinschränkung“, nicht validieren und davon ausgehen, dass PKIX dies tut
gültig.
Für „CA Constraint“ bedeutet dies, dass die Verifizierung mit einer Selbstsignierung enden sollte
Zertifikat.
-S Signatur(en) zu einem bekannten Schlüssel verfolgen.
Ohne diese Option wird dem lokalen Netzwerk vertraut, dass es einen DNSSEC-Resolver bereitstellt
(dh das AD-Bit wird überprüft).
-t tlsafile
TLSA-Eintrag(e) lesen aus tlsafile. Wenn Name und port werden ebenfalls angegeben, nur TLSA
Datensätze, die mit dem übereinstimmen Name, port und Transportwesen werden verwendet. Ansonsten der Besitzername
Zur Bestimmung wird die Anzahl der TLSA-Datensätze herangezogen Name, port und Transportwesen.
-T Gibt den Exit-Status 2 für PKIX-validierte Verbindungen ohne (sicheres) TLSA zurück
Datensätze
-u UDP-Transport anstelle von TCP verwenden.
-v Version anzeigen und beenden.
Nutzen Sie ldns-dane online über die Dienste von onworks.net