זוהי הפקודה ldns-signzone שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
ldns-signzone - חתום על קובץ אזור עם נתוני DNSSEC
תַקצִיר
ldns-signzone [ אפשרויות ] ZONEFILE מפתח [מפתח [מפתח] ... ]
תיאור
ldns-signzone משמש ליצירת אזור חתום DNSSEC. כאשר הוא מופעל, הוא ייצור אזור חדש
קובץ אזור המכיל רשומות משאבים של RRSIG ו-NSEC, כפי שצוין ב-RFC 4033, RFC 4034
ו-RFC 4035.
יש לציין מפתחות לפי שם הבסיס שלהם (כלומר, ללא .private). אם ה-DNSKEY ש...
שייך למפתח בקובץ .private ואינו קיים באזור, הוא ייקרא מ
הקובץ .key. אם קובץ זה אינו קיים, ייווצר ערך ה-DNSKEY
מהמפתח הפרטי.
ניתן לציין מספר מפתחות, מפתחות חתימת מפתח משמשים ככאלה כאשר הם
כבר קיימים באזור, או שצוינו בקובץ .key, וקובץ KSK מוגדר להם.
אפשרויות
-b מרחיב את האזור ואת ה-RR עם טקסטים נוספים של הערות לפריסה קריאה יותר,
קל יותר לאיתור באגים. רשומות DS יכילו גרסת bubblebabble של הנתונים ב-
טקסט הערה, רשומות NSEC3 יכללו את ה-NSEC3 המקורי בטקסט ההערה.
ללא אפשרות זו, רק תג המפתח של DNSKEY RR יסומן ב-
טקסט תגובה.
-d בדרך כלל, אם ה-DNSKEY RR עבור מפתח המשמש לחתימה על האזור לא נמצא ב-
קובץ האזור, הוא ייקרא מ-.key, או יגזר מהמפתח הפרטי (בכך
אפשרות זו מבטלת תכונה זו, כך שרק החתימות יתווספו
לאזור.
-e נתונים
הגדר את תאריך התפוגה של החתימות לתאריך זה, הפורמט יכול להיות
YYYYMMDD[hmmss], או חותמת זמן.
-f פילה
השתמש בקובץ זה כדי לאחסן את האזור החתום ב-(ברירת מחדל .חָתוּם)
-i נתונים
הגדר את תאריך תחילת החתימות לתאריך זה, ניתן להשתמש בפורמט
YYYYMMDD[hmmss], או חותמת זמן.
-o מקור
השתמש בזה כנקודת מוצא של האזור
-v הדפס את הגרסה וצא
-A חתום על רשומת DNSKEY עם כל המפתחות. כברירת מחדל, היא חתומה עם מינימום
מספר מפתחות, כדי לשמור על גודל התגובה עבור שאילתת DNSKEY קטן, ורק ה-
מפתחות SEP שעברו עברו משמשים. אם אין מפתחות SEP, ה-DNSKEY RRset מוגדר.
חתומים עם מפתחות שאינם SEP. אפשרות זו מבטלת את ברירת המחדל וכל המפתחות ייחתמו
משמש לחתימה על קבוצת ה-RR של DNSKEY.
-E שם
השתמש במנוע הקריפטוגרפי של EVP עם השם הנתון לחתימה. זה יכול להיות
כמה אפשרויות נוספות; ראה אפשרויות מנוע למידע נוסף.
-k מזהה, אינט
השתמש במפתח עם המזהה הנתון כמפתח החתימה עבור אלגוריתם int כאזור
מפתח חתימה. אפשרות זו משמשת בעת שימוש במנוע OpenSSL, ראה אפשרויות מנוע
לקבלת מידע נוסף.
-K מזהה, אינט
השתמש במפתח עם המזהה הנתון כמפתח החתימה עבור אלגוריתם int כמפתח חתימה
מפתח. אפשרות זו משמשת בעת שימוש במנוע OpenSSL, ראה אפשרויות מנוע עבור
עוד מידע.
-n השתמש ב-NSEC3 במקום NSEC.
אם אתם משתמשים ב-NSEC3, תוכלו לציין את האפשרויות הנוספות הבאות:
-a אַלגוֹרִיתְם
אלגוריתם המשמש ליצירת שמות בעלים מגובבים של NSEC3
-p ביטול הסכמה. כל רשומות NSEC3 באזור יקבלו את דגל ביטול ההסכמה. לאחר מכן
חתימה, באפשרותך להוסיף הקצאות לא מאובטחות לאזור החתום.
-s מחרוזת
מלח
-t מספר
מספר איטרציות גיבוב
מנוע אפשרויות
ניתן לשנות את המנועים האפשריים, אם נתמך, על ידי הגדרת תצורת OpenSSL
קובץ. זה נעשה באמצעות משתנה הסביבה OPENSSL_CONF. אם אתה משתמש ב-E עם
שם מנוע שאינו קיים, ldns-signzone ידפיס רשימה של מנועים הנתמכים על ידי שלך
תצורה.
אפשרויות המפתח (-k ו--K) פועלות באופן הבא; אתה מציין מזהה מפתח ואלגוריתם DNSSEC.
מספר (לדוגמה, 5 עבור RSASHA1). מזהה המפתח יכול להיות כל אחד מהבאים:
:
תְעוּדַת זֶהוּת_
חָרִיץ_ -תְעוּדַת זֶהוּת_
מַדבֵּקָה_
חָרִיץ_ -מַדבֵּקָה_
איפה ' ' הוא מזהה המפתח PKCS #11 בסימון הקסדצימלי, ' ' הוא PKCS
תווית קריאה על ידי בני אדם #11, ו-' ' הוא מספר המשבצת שבה נמצא האסימון.
אם אינו קיים כבר, נוצר RR של DNSKEY מנתוני המפתח ומתווסף לאזור.
דוגמאות
ldns-signzone nlnetlabs.nl Knlnetlabs.nl.+005+12273
חתום על האזור בקובץ 'nlnetlabs.nl' עם המפתח שבקבצים
'Knlnetlabs.nl.+005+12273.private'. אם ה-DNSKEY אינו קיים באזור, השתמש ב-
המפתח בקובץ 'Knlnetlabs.nl.+005+12273.key'. אם הוא אינו קיים,
צור אחד עם ערכי ברירת מחדל מ-'Knlnetlabs.nl.+005+12273.private'.
השתמש ב-ldns-signzone באופן מקוון באמצעות שירותי onworks.net
