Questo è il comando ldns-signzone che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
ldns-signzone - firma un file zone con dati DNSSEC
SINOSSI
ldns-signzone [ VERSIONI ] FILE DI ZONA CHIAVE [CHIAVE [CHIAVE] ... ]
DESCRIZIONE
ldns-signzone viene utilizzato per generare una zona firmata DNSSEC. Quando viene eseguito creerà un nuovo
zonefile che contiene record di risorse RRSIG e NSEC, come specificato in RFC 4033, RFC 4034
e RFC 4035.
Le chiavi devono essere specificate dal loro nome di base (cioè senza .private). Se la DNSKEY che
appartiene alla chiave nel file .private non è presente nella zona, verrà letto da
il file .chiave. Se quel file non esiste, verrà generato il valore DNSKEY
dalla chiave privata.
È possibile specificare più chiavi, le chiavi di firma chiave vengono utilizzate come tali quando sono entrambe
già presente nella zona, o specificato in un file .key, e avere il bit KSK impostato.
VERSIONI
-b Aumenta la zona e le RR con testi di commento extra per un layout più leggibile,
più facile da eseguire il debug. I record DS avranno una versione bubblebabble dei dati nel
testo del commento, i record NSEC3 avranno il NSEC3 originale nel testo del commento.
Senza questa opzione, solo i DNSKEY RR avranno il loro Key Tag annotato nel
testo del commento.
-d Normalmente, se il DNSKEY RR per una chiave utilizzata per firmare la zona non si trova in
il file di zona, verrà letto da .key o derivato dalla chiave privata (in questo
ordine). Questa opzione disattiva quella funzione, in modo che vengano aggiunte solo le firme
alla zona.
-e quando
Imposta la data di scadenza delle firme a questa data, il formato può essere
AAAAMMGG[hhmmss] o un timestamp.
-f filetto
Usa questo file per memorizzare la zona firmata (impostazione predefinita .firmato)
-i quando
Imposta la data di inizio delle firme su questa data, il formato può essere
AAAAMMGG[hhmmss] o un timestamp.
-o origine
Usa questo come origine della zona
-v Stampa la versione ed esci
-A Firma il record DNSKEY con tutte le chiavi. Per impostazione predefinita è firmato con un minimo
numero di chiavi, per mantenere piccola la dimensione della risposta per la query DNSKEY e solo il
Vengono utilizzate le chiavi SEP che vengono passate. Se non ci sono chiavi SEP, il DNSKEY RRset è
firmato con le chiavi non SEP. Questa opzione disattiva l'impostazione predefinita e tutti i tasti sono
utilizzato per firmare il DNSKEY RRset.
-E Nome
Utilizzare il motore crittografico EVP con il nome dato per la firma. Questo può avere
alcune opzioni extra; vedere OPZIONI MOTORE per maggiori informazioni.
-k id, int
Usa la chiave con l'id dato come chiave di firma per l'algoritmo int come Zona
chiave di firma. Questa opzione viene utilizzata quando si utilizza un motore OpenSSL, vedere OPZIONI DEL MOTORE
per maggiori informazioni.
-K id, int
Usa la chiave con l'id dato come chiave di firma per l'algoritmo int come chiave di firma
chiave. Questa opzione viene utilizzata quando si utilizza un motore OpenSSL, vedere OPZIONI DEL MOTORE per
maggiori informazioni.
-n Usa NSEC3 invece di NSEC.
Se utilizzi NSEC3, puoi specificare le seguenti opzioni extra:
-a algoritmo
Algoritmo utilizzato per creare i nomi dei proprietari NSEC3 con hash
-p Decidere di uscire. Tutti i record NSEC3 nella zona avranno il flag Opt-out impostato. Dopo
firma, è possibile aggiungere deleghe non sicure alla zona firmata.
-s stringa
Sale
-t numero
Numero di iterazioni hash
Engine VERSIONI
Puoi modificare i possibili motori, se supportati, impostando una configurazione OpenSSL
file. Questo viene fatto attraverso la variabile d'ambiente OPENSSL_CONF. Se usi -E con a
nome del motore inesistente, ldns-signzone stamperà un elenco di motori supportati dal tuo
configurazione.
Le opzioni chiave (-k e -K) funzionano come segue; si specifica un ID chiave e un algoritmo DNSSEC
numero (ad esempio, 5 per RSASHA1). L'ID chiave può essere uno dei seguenti:
:
ID_
fessura_ -ID_
etichetta_
fessura_ -etichetta_
In cui si ' ' è l'identificatore della chiave PKCS #11 in notazione esadecimale, ' ' è il PKCS
#11 etichetta leggibile dall'uomo e ' ' è il numero di slot in cui è presente il token.
Se non è già presente, viene generato un DNSKEY RR dai dati chiave e aggiunto alla zona.
ESEMPI
ldns-signzone nlnetlabs.nl Knlnetlabs.nl.+005+12273
Firma la zona nel file 'nlnetlabs.nl' con la chiave nei file
'Knlnetlabs.nl.+005+12273.privato'. Se la DNSKEY non è presente nella zona, utilizzare
la chiave nel file 'Knlnetlabs.nl.+005+12273.key'. Se non è presente,
generarne uno con i valori predefiniti da 'Knlnetlabs.nl.+005+12273.private'.
Usa ldns-signzone online utilizzando i servizi onworks.net