Este es el comando dacskey que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
dacskey: genera claves de cifrado para DACS
SINOPSIS
dackey [dacsopciones[1]]
[-cheque | -gen | -privado | -privado | -pub | -público]
[-p | -pf archivo de frase de contraseña] [-pem] [-vfs] [-rsa_key_bits número] [--] archivo de clave
DESCRIPCIÓN
Este programa es parte del DACS sucesivamente.
El dackey La utilidad genera claves de cifrado para DACS que sean criptográficamente sólidos.
Las claves se representan externamente como un documento XML denominado archivo de claves. El programa también puede
validar un archivo de claves o mostrar una clave.
Las claves se crean para al menos tres propósitos diferentes, aunque cada archivo de claves tiene la
mismo formato:
· Claves que son compartidas por todas las jurisdicciones dentro de la misma DACS federación,
identificado por el tipo de elemento del almacén de archivos virtual federation_keys. Es a traves de estos
claves "maestras" que cualquier jurisdicción puede descifrar y validar las credenciales
creado por cualquier otra jurisdicción dentro de la misma federación de forma rápida y sin ningún
comunicación adicional. Estas claves son generadas inicialmente por un designado
administrador de la federación en el momento en que se crea una federación. Estas claves pueden ser
generado en cualquier jurisdicción dentro de la federación.
Idealmente, se deben generar nuevas claves a intervalos regulares y también siempre que esté justificado
para mantener la seguridad, como cuando una jurisdicción abandona la federación o si una clave
puede haber sido comprometido. Cuando una jurisdicción se une a una federación, debe recibir una
copia de las claves actuales. Actualmente no hay soporte de administración de claves automatizado;
Los administradores deben distribuir estas claves a todas las jurisdicciones a través de un canal seguro.
siempre que se cambien. Además de usar algún método de encriptación para asegurar las claves
permanecer privado durante la distribución, tenga cuidado de no alterar el documento XML (por ejemplo,
mediante saltos de línea o truncamiento).
· Claves que son utilizadas por una jurisdicción para sus propios fines, identificadas por el virtual
tipo de elemento del almacén de archivos jurisdicción_keys. Estas claves se mantienen privadas para la jurisdicción.
(no se comparten con ninguna otra jurisdicción) y normalmente se generan en ese
jurisdicción. Estas claves deben regenerarse periódicamente como medida de seguridad de rutina.
medir.
· Claves que utiliza un DACS aplicación en una jurisdicción particular para su propia
propósitosdacsgrid(1)[2], por ejemplo). Estas claves deben regenerarse
periódicamente, pero tenga cuidado de conservar las claves antiguas para que puedan utilizarse para
descifrado antes de volver a cifrar la información con las nuevas claves.
El programa normalmente usa OpenSSL's ssl(3)[3] biblioteca para adquirir datos aleatorios de alta calidad.
material. En determinadas situaciones, un administrador experimentado puede encontrar -p y -pf
opciones útiles; otros deberían evitarlos, sin embargo.
Cuando se generan claves, la salida se escribe en archivo de clave, que se crea o
truncado. En este contexto, archivo de clave debe ser un nombre de ruta. A menos que se escriba directamente a donde
puntos de federation_keys (o jurisdicción_keys), archivo de clave debe copiarse allí.
Suponiendo que el archivo de configuración del sitio predeterminado (conf / site.conf-std, que establece
ubicaciones predeterminadas para estos archivos) se ha instalado:
% dacskey -u misitio.ejemplo.com -q fkeys
% instalar -o root -g www -m 0640 fkeys \
/usr/local/dacs/federations/example.com/federation_keyfile
% dacskey -u misitio.ejemplo.com -q jkeys
% instalar -o root -g www -m 0640 jkeys \
/usr/local/dacs/federations/example.com/mysite/jurisdiction_keyfile
El propietario, el grupo y el modo asignados a estos archivos en este ejemplo son típicos, pero son
solo sugerencias.
Seguridad
Un archivo de claves generado por este comando debe ser accesible (legible y escribible) único by
DACS servicios web y el DACS administrador. Debe mantenerse ilegible y
inadmisible para todos los demás.
Cuando no genera claves, por defecto archivo de clave es un nombre de ruta. Si el -vfs se da la bandera,
y luego archivo de clave es un DACS URI, tipo de elemento o nombre de ruta absoluto.
OPCIONES
Además del estándar dacsopciones[1], dackey reconoce estas opciones:
-gen
Genera nuevas claves. Ésta es la operación predeterminada.
-cheque
Validar archivo de clave, un archivo de claves existente. los archivo de clave se expresa como un vfs-ref o un
nombre de archivo absoluto (ver dacs.conf(5)[4]).
-privado
-privado
Imprima la clave privada que se encuentra en archivo de clave, un archivo de claves existente, a stdout. Lo privado
la clave es no sea cifrado. Si el -pem la bandera está presente, se utiliza el formato PEM, de lo contrario
la DACS Se usa codificación base-64 (la última se usa cuando las claves aparecen en XML
valores de atributo).
-pub
-público
Imprima la clave pública que se encuentra en archivo de clave, un archivo de claves existente, a stdout. Si el -pem
la bandera está presente, se utiliza el formato PEM; de lo contrario, el DACS se utiliza codificación base-64
(este último se utiliza cuando las claves aparecen en valores de atributo XML).
-p
En lugar de utilizar la fuente predeterminada para generar cadenas aleatorias, obtenga el
cadenas de material leídas desde la entrada estándar. Se solicita al usuario que ingrese.
Esta opción no debe utilizarse en circunstancias normales.
-pem
Al imprimir una clave, utilice el formato PEM.
-pf archivo de frase de contraseña
En lugar de utilizar la fuente predeterminada para generar cadenas aleatorias, obtenga el
cadenas de material leídas archivo de frase de contraseña. Si el argumento del nombre de archivo es "-", el
se lee la entrada estándar. Esta opción no debe utilizarse en circunstancias normales.
-rsa_key_bits número
Esto especifica la longitud del módulo RSA, en bits, utilizado para la clave asimétrica
Generacion. Usado como número argumento para RSA_generar_clave(3)[5], el valor debe satisfacer
las limitaciones de esa función.
--
Este argumento marca explícitamente el final de las banderas.
La diagnostica
El programa sale 0 si todo estaba bien, 1 si ocurrió un error.
Use dacskey en línea usando los servicios de onworks.net
