これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンドzonesignerpです。
プログラム:
NAME
zonesigner - 暗号化キーを生成し、DNS ゾーンに署名します。
SYNOPSIS
ゾーン署名者 [オプション]
# すぐに始めましょう 例:
# 最初に example.com などのゾーンで実行します。
zonesigner -genkeys -endtime +2678400 example.com
# 有効期限が切れる前に今後実行されます (同じキーを再利用します):
ゾーン署名者 -endtime +2678400 example.com
DESCRIPTION
このスクリプトは、DNS に署名するために必要な多くのアクションを XNUMX つのコマンドに結合します。
ゾーン。 必要な KSK キーと ZSK キーを生成し、キー データをゾーン レコードに追加します。
ファイルを作成し、ゾーン ファイルに署名し、チェックを実行して、すべてが適切に動作していることを確認します。 それ
また、再作成を容易にするために、キーとゾーンの署名方法に関する記録も保持します。
将来的にはゾーンに署名する予定です。
当学校区の ゾーン署名者- 特定のゾーン署名レコードは次の場所に保存されます。 キーレック ファイル。 使用する キーレック
DNSSEC ツールによって定義および維持されるファイル、 ゾーン署名者 多くのものを自動的に収集できます
以前にゾーンとそのキーに署名して生成するために使用されたオプション。 これにより、
たとえば、同じキーの長さと有効期限を使用してゾーンを維持する必要があります。
管理者がこれらのフィールドを手動で追跡する必要はありません。
QUICK 開始
以下は、すぐに使用を開始できるようにする例です。 ゾーン署名者:
example.com で最初に実行する
次のコマンドはキーを生成し、example.com のゾーン ファイルに署名します。
有効期限は 31 日後になります。 ゾーンファイルの名前は example.com
署名されたゾーン ファイルには次の名前が付けられます。 example.com.signed.
zonesigner -genkeys -endtime +2678400 example.com
それ以降は example.com で実行します
次のコマンドは、example.com のゾーン ファイルに再署名しますが、新しいゾーン ファイルは生成されません。
キー。 ファイルとすべてのキー生成およびゾーン署名引数はそのまま残ります。
同じ。
ゾーン署名者 example.com
使用する ゾーンシグナー
ゾーン署名者 は次のように使用されます。
ゾーン署名者 [オプション]
当学校区の ゾーンファイル 引数が必要です。
ゾーンファイル 署名付きゾーン ファイルの作成元となるゾーン ファイルの名前です。 もし
-ゾーン オプションが与えられていない場合、 ゾーンファイル ゾーンの名前として使用されます。
署名されます。 生成されたキーには、この名前がベースとして付けられます。
Once ゾーン署名者 ゾーンのキーのセットを作成し、ゾーンに署名した場合、それを使用することができます
ゾーンファイルの変更に応じて再署名します。 オプションを何も付けずに実行すると、 ゾーン署名者 意志
ゾーンの keyrec を参照して、適切なキーのセットを見つけて、
指定されたゾーンを使用します。
ゾーン ファイルは次のように変更されます。 include コマンドには、KSK と ZSK が含まれます。
キー。 これらの行はファイルの最後に配置されるため、
ユーザー。 ゾーン ファイルにすでにキー ファイルが含まれている場合、それらのキー ファイルは削除されます。
これらの行は、「$INCLUDE」で始まり「.key」で終わることで区別されます。 だけ
実際のインクルード行は削除されます。 関連するコメント行はそのまま残されます。
中間ファイルはゾーンの署名に使用されます。 ゾーンファイル 中間にコピーされる
ファイルに署名し、ゾーン ファイルに署名する準備として変更されます。 いくつかの $INCLUDE 行は、
ファイルの最後に追加すると、SOA シリアル番号が増加します。
署名付きゾーン 署名されたゾーン ファイルの名前です。 コマンドラインで指定しない場合は、
デフォルトの署名付きゾーンのファイル名は ゾーンファイル 「.signed」が追加されます。 したがって、
実行 ゾーン署名者 example.com 署名されたゾーンは次の場所に保存されます。
example.com.signed.
を除いて -ゲンキー, -ゲンクスク, -ゲンツクまたは -newpubksk オプションが指定されている場合、最後のキーは
特定のゾーン用に生成されたものは、後続のゾーンで使用されます。 ゾーン署名者 処刑。 DS
レコードは、次の場合を除き、署名操作に含まれます。 -ノージェンズ オプションが使用されます。
ゾーン署名者 などのロールオーバー マネージャーと併用できます。 ローラード、自動化を提供する
ゾーン、そのキー、およびゾーンの署名の管理。 もし ローラード-管理
ゾーンファイルは変更されます ローラード ゾーン ロールオーバーの開始またはロールオーバー フェーズを待っています
完了するには、 ゾーン署名者 適切なキーのセットでゾーンに署名するために使用できます。 ローラード
これによって中断されることはありません。
キーレック ファイル
キーレック ファイルには、以前の鍵生成およびゾーン署名操作に関する情報が保持されます。
もし キーレック ファイルが指定されていません( -krfile オプション)、その後はデフォルト キーレック
ファイルが使用されます。 このデフォルトがシステムの DNSSEC ツール構成で指定されていない場合
ファイルの場合、ファイル名はゾーン名に が追加されたものになります。 .krf。 もし -nokrfile オプションがある
与えられた場合は、いいえ キーレック ファイルが参照または保存されます。
各 キーレック 「キー/値」エントリのセットが 4 行に XNUMX つずつ含まれています。 以下の例 XNUMX には次のものが含まれます
サンプルの内容 キーレック ファイルにソフトウェアを指定する必要があります。
キーレック ファイルには次の XNUMX 種類のエントリが含まれています。 キーレックs、セット キーレックs、およびキー キーレックs.
ゾーン キーレックZSK の数など、ゾーンに関する具体的な情報が含まれます。
ゾーンの署名に使用される、ゾーンの終了時刻、およびキー署名セット名 (
セッションに キーレックs.) 設定 キーレックキーのリストが含まれています キーレック 特定の目的で使用される名前、
現在の ZSK キーや公開された ZSK キーなど。 鍵 キーレック情報が含まれています
暗号化アルゴリズム、キーの長さ、キーなど、生成されたキー自体について
一生。
ゾーンがキーのロールオーバーを進めると、ゾーン用に新しい暗号キーが生成されます。
ゾーン。 さまざまな鍵パラメータ (鍵の長さや暗号アルゴリズムなど) は同じになります
そのゾーンのキーを生成するために以前に使用されたパラメータとして。 の キーモッド command
これらの主要なパラメータを必要に応じて変更できます。 特定のパラメータが
KSK の長さが 1024 から 2048 に変更されるなど、変更された場合 未来 キーが反映されます
その変化。 現在および過去のキーは変更されません。
キーレック RFC5011 KSK 取消
RFC5011処理が有効になっている場合、ゾーンのセットの特別な処理があります キーレック of
KSKキーを取り消しました。 ゾーンの「kskrev」フィールド キーレック セットを指す キーレック、 マークされた
タイプは「kskrev」です。 このセット キーレック、順番に、他のセットの数を指します
キーレックs、これらはすべて「kskrev」タイプとしてもマークされています。 取り消されたすべてのグループ
KSKキーは、「kskrev」セットのその補助セットを参照することによって見つけられます キーレックs。 いつ
これらの失効したキーの年齢は失効期間を超えており、
廃止されました( "kskobs")。 これが通常のロールオーバーの一部として発生した場合、これらの取り消されたキーと
セッションに キーレックsはすべて、アクティブで取り消されたチェーンから削除されます キーレックs。 これが起こった場合
より大きなキーセットの一部であるキーは、その署名セットから削除され、挿入されます
独自の新しい署名セット。
エントロピ
一部のシステムでは、擬似乱数ジェネレーターの実装には次のものが必要です。
キーボードアクティビティ。 このキーボード アクティビティは、システムのランダムなバッファを埋めるために使用されます。
数値ジェネレーター。 もし ゾーン署名者 ハングしているように見える場合は、ランダムにエントロピーを追加する必要があるかもしれません
プログラムが完了するまでランダムにキーを叩いて数値を生成します。 これの表示
メッセージはによって制御されます エントロピーメッセージ 設定ファイルのパラメータ。
決定する オプション VALUES
ゾーン署名者 オプションの値を決定するために XNUMX つの場所をチェックします。 降順で
優先的に、これらの場所は次のとおりです。
コマンドラインオプション
キーレックファイル
DNSSEC ツール設定ファイル
ゾーン署名者のデフォルト
値が見つかるまでそれぞれがチェックされます。 その値はそのために使用されます ゾーン署名者
実行され、値は キーレック ファイルにソフトウェアを指定する必要があります。
例:
たとえば、KSK 長には次の値があります。
-ksklength コマンド ライン オプション: 8192
キーレックファイル: 1024
DNSSEC ツール設定ファイル: 512
ゾーン署名者のデフォルト: 2048
すべて存在する場合、KSK の長さは 8192 になります。
Status -ksklength コマンド ライン オプションが指定されていない場合、KSK の長さは 1024 になります。
KSK の長さが構成ファイルで指定されていない場合は、8192 になります。
KSK 長さが指定されていない場合は、 キーレック ファイルまたは構成ファイルの場合、KSK の長さは
8192になります。
Status -ksklength コマンド ライン オプションが指定されておらず、KSK の長さが指定されていませんでした。
設定ファイルでは 1024 になります。
コマンド ライン オプションが指定されていない場合、KSK の長さは キーレック ファイル、そしてそれ
構成ファイルに含まれていない場合、KSK の長さは 512 になります。
OPTIONS
対象となるコマンドに基づいて、XNUMX 種類のオプションを指定できます。
これらのコマンドは、 dnssec-keygen, dnssec-signzone, ゾーン署名者.
ゾーン署名者固有の オプション
-アーカイブディレクトリ
キーのアーカイブ ディレクトリ。 キーのアーカイブ ディレクトリが指定されていない場合 (
コマンドラインまたは DNSSEC-Tools 構成ファイル内)、および -nosave オプションは
与えられた、それでは ゾーン署名者 キーは現在のディレクトリに残ります。
ファイルがアーカイブ ディレクトリに保存されると、既存のファイル名は次のようになります。
先頭にタイムスタンプが付加されます。 タイムスタンプは、ファイルがいつアーカイブされたかを示します。
このディレクトリ かもしれません ルートディレクトリになります。
-削除取り消し
現在取り消されている KSK を明示的に廃止し、事前に署名セットから削除します。
辞職すること。 これは相互に排他的です -nodroprevoked。 どちらでもない場合 -削除取り消し
また -nodroprevoked 与えられると、 -削除取り消し 機能が想定されています。
-dsdir
DSSET を保存するディレクトリを指定します。 このディレクトリが存在しない場合は作成されます
存在する。
ディレクトリは書き込み可能である必要があり、 かもしれません ルートディレクトリになります。
-ゲンキー
ゾーンの新しい KSK と ZSK を生成します。
-ゲンクスク
ゾーンの新しい現在の KSK を生成します。 既存の現在の KSK は次のようにマークされます。
廃止。 このオプションが指定されていない場合、このゾーンに対して生成された最後の KSK は次のようになります。
中古。
-ゲンツク
ゾーンの新しい ZSK を生成します。 デフォルトでは、このゾーンに対して生成された最後の ZSK
使用されます。
-助けて
使用法メッセージを表示します。
-中級
一時ゾーン ファイルに使用するファイル名。 ゾーンファイルはここにコピーされます
ファイルの後にキー名が追加されます。
-キーディレクトリ
KSK キーと ZSK キーが保存されるディレクトリ。 デフォルトでは、
ディレクトリ内のキー ゾーン署名者 実行されます。
このディレクトリ かもしれません ルートディレクトリになります。
-krfile
キーレック 処理オプションで使用するファイル。 のマニュアルページを参照してください
Net::DNS::SEC::Tools::tooloptions.pm このファイルの詳細については、
-ksignset
使用する KSK 署名セットの名前。 署名セットが存在しない場合、これは
いずれかと組み合わせて使用する必要があります -ゲンキー or -ゲンクスク。 名前には以下が含まれる場合があります
英数字、アンダースコア、ハイフン、ピリオド、カンマ。
名前には、英数字、アンダースコア、ハイフン、ピリオド、カンマを使用できます。 の
デフォルトの署名セット名は「」ですゾーン-サインセット-N"、 どこ ゾーン 署名されているゾーンであり、
N 数字です。
If -ksignset 指定されていない場合 ゾーン署名者 デフォルトを使用し、増加します
後続の署名セットの番号。
-kskcount
生成し、ゾーンに署名する KSK キーの数。 デフォルトは次のとおりです
単一の KSK キーを使用します。
-kskディレクトリ
KSK キーが保存されるディレクトリ。 デフォルトでは、キーは次の場所に保存されます。
ディレクトリ ゾーン署名者 実行されます。
このディレクトリ かもしれません ルートディレクトリになります。
-ksklife
KSK ロールオーバー間の時間。 これは秒単位で測定されます。
-newpubksk
ゾーンの新しい公開 KSK を生成します。 既存の公開された KSK はマークされます。
時代遅れとして。
-nodroprevoked
現在取り消されている廃止された KSK を明示的に無効にし、署名から削除します。
退職前に設定します。 これは相互に排他的です -削除取り消し。 どちらでもない場合
-削除取り消し また -nodroprevoked 与えられると、 -削除取り消し 機能性は
想定されます。
-nokrfile
いいえ キーレック ファイルが参照または作成されます。
-norfc5011
既存の KSK キー セットをローリングまたは置き換える場合は、RFC5011 KSK 失効を無効にします。 による
デフォルト、 ゾーン署名者 RFC5011 KSK 失効を実行し、このオプションがこれに優先します
の動作とオプション設定 キーレック ファイルにソフトウェアを指定する必要があります。
-nosave
古いキーをキー アーカイブ ディレクトリに保存しないでください。 デフォルトの動作は次のとおりです
古いキーを保存します。
-段階
オプションを使用するのではなく、ロールオーバー フェーズに基づいてロールオーバー オプションを指定します。
実行する特定のアクションに名前を付けます。 このオプションの目的は、
どのようにするかについての明確さとより深い理解 ゾーン署名者 ロールオーバープロセスで使用されます。
以下は、 -段階 オプションとアクションのオプション。
フェーズオプション アクションベースのオプション
-phase ksk2 -newpubksk
-phase ksk4 -rollksk
-phase zsk2 -usezskpub
-phase zsk4b -rollzsk
-phase zsk4b (オプションなし)
警告: -段階 このオプションは、何をしようとしているのか理解している場合にのみ使用してください。
-ロルクスク
KSK キーのロールオーバーを強制します。 現在の KSK キーは廃止としてマークされており、
公開された KSK キーは「最新」としてマークされます。 その後、ゾーンは新しいセットで署名されます。
現在の KSK キー。 ゾーンの場合 キーレック 現在または公開されている KSK はリストされていません。
エラーメッセージが出力され、 ゾーン署名者 実行を停止します。
ゾーンの キーレック ファイルが更新されて、新しいキーの状態が表示されます。
当学校区の キーレックKSK キーの は次のように調整されます。
現在の KSK キーは廃止としてマークされています。
公開された KSK キーは「最新」としてマークされます。
廃止された KSK キーはアーカイブ ディレクトリに移動されます。
RFC5011 処理が有効な場合、KSK ロールオーバー シーケンスは次のように変更されます。
以下:
現在の KSK キーは取り消し済みとしてマークされます。
公開された KSK キーは「最新」としてマークされます。
取り消された KSK キーがまだ残っているかどうかがチェックされます。
取り消し期間内に。 そうでない場合は、マークが付けられます
時代遅れとして。
廃止された KSK キーはアーカイブ ディレクトリに移動されます。
警告: キーローリングのタイミングは重要です。 使用時には細心の注意が必要です
このオプション。 将来、 ローラード KSK ロールオーバー プロセスが自動化され、
DNSSEC 管理のこの側面を安全に処理するために使用されます。
警告:を使用して -ロルクスク このオプションは、何をしようとしているのか理解している場合にのみ使用してください。
警告:これはもしかしたら 一時的 KSK ロールオーバーの方法。 それ かもしれません で変更される
未来。
-rollmgr
ゾーンのロールオーバーマネージャー。 これは、ゾーンが制御下にあることを示します。
ロールオーバーマネージャー。 ユーザーがロールオーバー待機中にゾーンに署名したい場合
フェーズ、このフィールドは役に立ちます ゾーン署名者 ロールオーバー マネージャーが最適な方法を決定します。
ゾーン署名操作を処理します。
-rollzsk
公開前キー ロールオーバー方法を使用して、ZSK キーのロールオーバーを強制します。 の
ロールオーバー プロセスは、指定されたゾーンの署名に使用されるキーを調整し、新しいキーを生成します。
適切なキーでゾーンに署名し、 キーレック ファイル。 プレ
公開キー ロールオーバー プロセスについては、「DNSSEC 運用慣行」で説明されています。
の資料をご参照ください。
ロールオーバー プロセスでは、現在、公開、および新規の XNUMX セットの ZSK キーが使用されます。
現在の ZSK は、ゾーンの署名に使用される ZSK です。 公開された ZSK が利用可能です
ゾーン データ内、つまりキャッシュされたゾーン データ内にありますが、署名にはまだ使用されていません。
ゾーン。 新しい ZSK はゾーン データでは使用できず、ゾーンの署名にはまだ使用されていませんが、
将来の使用を待っています。
当学校区の キーレックZSK キーの は次のように調整されます。
現在の ZSK キーは廃止済みとしてマークされています。
公開された ZSK キーは「最新」としてマークされます。
新しい ZSK キーが存在する場合、公開済みとしてマークされます。
別の ZSK キーのセットが生成されます。
新しい ZSK キーとしてマークされています。
公開された ZSK キーの zsklife フィールドは、
新しい ZSK キーの keyrec。
廃止された ZSK キーはアーカイブ ディレクトリに移動されます。
適切な ZSK ローリングの簡単な概要 ( ローラード あなたがそれを使用すればあなたのために起こります):
- 待機 2 * 最大 (ゾーン内の TTL)
- -usezskpubを使用してzonesignerを実行します
- 待機 2 * 最大 (ゾーン内の TTL)
- -rollzskを使用してzonesignerを実行します
- 待機 2 * 最大 (ゾーン内の TTL)
警告: キーローリングのタイミングは重要です。 使用時には細心の注意が必要です
このオプション。 ローラード ロールオーバープロセスを自動化し、安全に乗車するために使用できます。
DNSSEC 管理のこの側面に注意してください。 の使用 -rollzsk オプションはのみである必要があります
自分が何をしているのか分かっている場合に使用されます。
-showkeycmd
実際のキー生成コマンド (オプションと引数を含む) を表示します。
実行されました。 これは、冗長レベル 3 出力の小さなサブセットです。
-showsigncmd
実行される実際のゾーン署名コマンド (オプションと引数を含む) を表示します。
これは、冗長レベル 3 出力の小さなサブセットです。
-署名のみ
キー生成またはキーのロールオーバー操作を実行せずにゾーンに署名します。 の
最近使用したキー ゾーン署名者 このゾーンの署名は、次の目的で使用されるキーになります。
このサイン会。
-サインセット
現在の ZSK 署名セットとして使用する ZSK 署名セットの名前。 ゾーンは
署名され、指定された署名セットがゾーンの新しい現在の ZSK 署名セットになります。 もし
署名セットが存在しない場合は、これを次のいずれかと組み合わせて使用する必要があります。
-ゲンキー or -ゲンツク.
名前には、英数字、アンダースコア、ハイフン、ピリオド、カンマを使用できます。 の
デフォルトの署名セット名は「」ですゾーンサインセット-N"、 どこ ゾーン 署名されているゾーンであり、 N
数字です。
If -サインセット 指定されていない場合 ゾーン署名者 デフォルトを使用し、増加します
後続の署名セットの番号。
-しきい値
しきい値条件が満たされた場合はゾーンに署名します。 閾値がどうなっているかにもよりますが、
指定される場合、ゾーンが最後に署名された時刻、またはゾーンの
有効期限。
しきい値時間 数値として指定されるしきい値です。単位はオプションです。
指定子。 単位は、秒、分、時間の「s」、「m」、「h」、または「d」です。
日々。 単位が指定されていない場合、値は秒単位になります。 しきい値
どのしきい値を設定するかを示すために、「-」プレフィックスまたは「+」プレフィックスが必要です。
測定。 しきい値 +10日 ゾーンの有効期限が切れる XNUMX 日前を指します
日付。
「-」プレフィックスが使用されている場合、ゾーンは次の場合に再署名されます。 ゾーン署名者 実行されます
に過ぎません しきい値時間 最後にゾーンが署名された後。 しきい値時間
は、次の午前 XNUMX 時からしきい値を減算することによって決定されます。 これなら
しきい値時間を将来に設定すると、現在の値から計算されます。
時間。
「+」プレフィックスが使用されている場合、ゾーンは次の場合に再署名されます。 ゾーン署名者 実行されます
に過ぎません しきい値時間 ゾーンの有効期限が切れる前に。 しきい値時間 is
前回の午前 XNUMX 時からしきい値を減算して決定されます。 これなら
置くだろう しきい値時間 過去の場合は現在の時刻から計算されます。
-両方を使う
既存の電流を使用する ゾーンに署名するための ZSK を公開しました。
-usezskpub
既存の公開された ZSK を使用してゾーンに署名します。
-バージョン
のバージョン情報を表示します ゾーン署名者 およびDNSSEC-Toolsパッケージ。
-詳細
詳細な出力が表示されます。 さらに多くの例として、 -詳細 コマンドで与えられます
行で、追加レベルの冗長性が実現されます。
レベル出力
----- ------
1 件の操作が実行されています
(例: キーファイルの生成、ゾーンへの署名)
2 運用の詳細と一部の運用結果
(例: 新しいキー名、ゾーンのシリアル番号)
3 オペレーションのパラメータと追加の詳細
(例: キーの長さ、暗号化アルゴリズム、
実行されたコマンド)
より高いレベルの冗長性は累積されます。 の XNUMX つのインスタンスを指定する -詳細 意志
出力の第 XNUMX レベルと第 XNUMX レベルから出力を取得します。
-xc に関連付けられたメッセージを表示します ゾーン署名者 終了値。 このオプションの目的は、
を希望するプログラムによる使用のため ゾーン署名者 静かに実行するには、
理由の説明 ゾーン署名者 エラーで終了しました。
以下に、終了コードとそれに関連するメッセージを示します。
0 - 実行が成功した
1 - -rfc5011 と -norfc5011 は同時に指定できません
2 - -droprevoked と -nodroprevoked を同時に指定することはできません
3 - -keydirectory と -kskdirectory を同時に指定することはできません
4 - -keydirectory と -zskdirectory を同時に指定することはできません
5 - KSK カウントは正でなければなりません
6 - ZSK カウントは正でなければなりません
7 - キーのアーカイブ ディレクトリが指定されていません
8 - キーアーカイブディレクトリはディレクトリではありません
9 - キーアーカイブディレクトリは/であってはなりません
10 - -savekeys と -nosave を同時に指定することはできません
11 - KSK または ZSK ディレクトリのいずれかが誤って指定されました
12 - 指定された KSK ディレクトリまたは指定された ZSK ディレクトリはディレクトリではありません
13 - KSK ディレクトリも ZSK ディレクトリもルート ディレクトリであってはなりません
14 - ゾーン ファイル、出力ファイル、中間ファイルはすべて個別の名前を持つ必要があります
15 - ゾーンファイルが存在しません
16 - ゾーンファイルが空です
17 - ゾーンファイルはすでに署名されています
18 - 指定された署名セットが存在しません
19 - 指定された現在の ZSK 署名セットが存在しません
20 - 指定された公開された ZSK 署名セットが存在しません
21 - 指定された新しい署名セット名はすでに存在します
22 - 指定された KSK 署名セットはすでに存在します
23 - KSK 署名セットが指定されていません
24 - 指定された現在の KSK 署名セットが存在しません
25 - 指定された公開された KSK 署名セットが存在しません
26 - KSK キー ファイルを生成できません
27 - ZSK keyrec が keyrec ファイルに存在しません
28 - ZSK キー ファイルを生成できません
29 - キーのアーカイブ ディレクトリがディレクトリではないため、キーをアーカイブできません
30 - KSK リポジトリはディレクトリではありません
31 - ZSK リポジトリはディレクトリではありません
32 - ゾーンファイルのシリアル番号を更新できません
33 - ゾーン ファイルの変更された内容が空です
34 - ゾーンに署名できません
35 - 公開された KSK が作成されていません
36 - ゾーンには現在の ZSK にロールオーバーする公開 ZSK がありません
37 - ゾーンの特定の署名セットにキーが定義されていません
38 - 必要な署名セットの keyrec が存在しません
39 - keyrec ファイルのエラー -- 特定の署名セット keyrec はセット keyrec ではありません
40 - 指定された署名セットにはキーが含まれていません
41 - 特定のキーにキー keyrec が存在しません
42 - 指定されたキーの keyrec は予期しないタイプです
43 - 使用状況メッセージが印刷されました
44 - -xc に指定された終了コードが無効です
45 - 名前付きチェックゾーンがエラーを返しました
46 - dsset アーカイブ ディレクトリを作成できません
47 - dsset アーカイブ ディレクトリはディレクトリではありません
48 - dsset アーカイブ ディレクトリは書き込み可能ではありません
49 - dsset アーカイブ ディレクトリは / であってはなりません
50 - 無効なしきい値
51 - 無効な形式の終了日
無効な終了コードが指定された場合は、エラー メッセージが出力されます。
-クトゥルフ
このオプションは内部使用のみを目的としており、ユーザーは決して使用しないでください。 これなら
警告が無視されると、未定義の名前のない不気味な恐怖が訪れる可能性があります
ゾーンファイル。 使ってはいけません。
-ゾーン
署名されるゾーンの名前。 このゾーン名は、このオプションまたは
最初の非オプションのコマンドライン引数として。 XNUMX 番目のケースでは、引数が
ディレクトリ区切り文字が含まれている場合、パスの最後の要素が
ゾーン名。
-zskcount
生成し、ゾーンに署名するための ZSK キーの数。 デフォルトは次のとおりです
単一の ZSK キーを使用します。
-zskディレクトリ
ZSK キーが保存されるディレクトリ。 デフォルトでは、キーは次の場所に保存されます。
ディレクトリ ゾーン署名者 実行されます。
このディレクトリ かもしれません ルートディレクトリになります。
-zsklife
ZSK ロールオーバー間の時間。 これは秒単位で測定されます。
dnssec-keygen 固有 オプション
-アルゴリズム
ゾーンのキーを生成するために使用される暗号化アルゴリズム。 デフォルト値は次のとおりです
RSASHA1. オプションの値が渡されます dnssec-keygen として -a フラグ。 相談する dnssec-
keygenののマニュアルページを参照して、正当な値を決定してください。
-kgopts
の追加オプション dnssec-keygen このオプションを使用して指定できます。 の
追加のオプションは、単一の文字列値として引数として渡されます。 -kgopts
オプションを選択します。
-ksklength
ゾーンの KSK キーのビット長。 デフォルトは 2048 です。
-nsec3optout
このフラグと -usesec3 フラグが設定されている場合、ゾーンは Opt-
RFC5155 に記載されている Out サポート。 簡単にまとめると、有効なサブドメインのみが
利用可能な DS キーまたは公開キーは署名されますが、残りは署名されません。 これは大いに
多数の非常に大規模なゾーンの計算要件とメモリ要件を軽減します。
署名のない子供たち。
-ランダム
ゾーンのキーを生成するために使用されるランダム性のソース。 これはファイルであると想定されます。
例えば は/ dev / urandomの.
-usesec3
を使用してゾーンに署名します NSEC3 (RFC5155 を参照)
NSEC 記録。 ゾーンの署名に使用されるキーは、NSEC3 の使用をサポートしている必要があります。
ゾーン署名は失敗します。 Zonesigner は自動的に新しいキーを生成します。
次のいずれかの場合に正しいタイプ -ゲンキー または同様のオプションが使用されます。
-zsklength
ゾーンの ZSK キーのビット長。 デフォルトは 1024 です。
dnssec-signzone 固有 オプション
-終了時間
現在の時刻から測定した、ゾーンの有効期限が切れる時刻。 数値として与えると、
それは秒数です。 数値の後に「s」、「m」、「h」、または
「d」の場合、秒、分、時間、または日の数になります。 デフォルト値は次のとおりです
2764800 秒 (32 日)
-ジェンダー
強 dnssec-signzone ゾーンの DS レコードを生成します。 このオプションは翻訳されています
に -g に渡されたとき dnssec-signzone.
このオプションは廃止されました。 DS レコードはデフォルトで生成されます。 使用 -ノージェンズ
DS レコードを生成しない場合のオプション。
-ksdir
キーセットを保存するディレクトリを指定します。 これはに渡されます dnssec-signzone として -d
オプションを選択します。
-ノージェンズ
防ぐ dnssec-signzone ゾーンの DS レコードの生成から。
-szopts
の追加オプション dnssec-signzone このオプションを使用して指定できます。 の
追加のオプションは、単一の文字列値として引数として渡されます。 -szopts
オプションを選択します。
このオプションのデフォルト値は「-i local」で、次のように設定されます。 デフォルト.pm。 この値には、
かかる時間を大幅に改善することが判明 名前付きチェックゾーン 走る。
その他 オプション
-zcopts
の追加オプション 名前付きチェックゾーン このオプションを使用して指定できます。 の
追加のオプションは、単一の文字列値として引数として渡されます。 -zcopts
オプションを選択します。
例
例1。
最初の例では、既存の キーレック ファイルは、example.com への署名を支援するために使用されます。
ドメイン。 ゾーンデータは次の場所に保存されます。 example.com、keyrec は次のとおりです。 たとえば .krf。 最終
署名付きゾーンファイルは次のようになります db.example.com.signed。 この実行を使用すると、次のようになります。
#zonesigner -krfile example.krf example.com db.example.com.signed
次のファイルが作成されます。
Kexample.com.+005+45842.private
Kexample.com.+005+45842.key
Kexample.com.+005+50186.private
Kexample.com.+005+50186.key
Kexample.com.+005+59143.private
Kexample.com.+005+59143.key
dsset-example.com。
キーセット例.com。
db.example.com.signed
最初の XNUMX つのファイルは、ゾーンに必要な KSK キーと ZSK キーです。 次の XNUMX つのファイル
ゾーン署名プロセスによって作成されます。 最後のファイルは、最終的な署名付きゾーン ファイルです。
例2。
XNUMX 番目の例では、既存の キーレック ファイルは、署名を支援するために使用されます。
example.com ドメイン。 ゾーンデータは次の場所に保存されます。 example.com、keyrec は次のとおりです。
たとえば .krf。 生成されたキー、中間ゾーン ファイル、および最終的な署名付きゾーン ファイル
使用する example.com ベースとして。 この実行を使用すると、次のようになります。
#zonesigner -krfile example.krf -intermediate example.zs example.com
次のファイルが作成されます。
Kdb.example.com.+005+12354.key
Kdb.example.com.+005+12354.private
Kdb.example.com.+005+82197.key
Kdb.example.com.+005+82197.private
Kdb.example.com.+005+55888.key
Kdb.example.com.+005+55888.private
dsset-db.example.com。
keyset-db.example.com。
たとえば .zs
example.com.signed
最初の XNUMX つのファイルは、ゾーンに必要な KSK キーと ZSK キーです。 次の XNUMX つのファイル
ゾーン署名プロセスによって作成されます。 最後から XNUMX 番目のファイルは中間ファイルです
それは署名されます。 最後のファイルは、最後の署名されたゾーンです。
例3。
XNUMX 番目の例では、いいえ キーレック ファイルは example.com の署名用に指定されています
ドメイン。 前の例で示したように作成されたファイルに加えて、新しい キーレック ファイルは
作成した。 新しい キーレック ファイルはドメイン名をベースとして使用します。 この実行を使用すると、次のようになります。
# ゾーン署名者 example.com db.example.com
次 キーレック ファイルが作成されます:
example.com.krf
署名付きゾーン ファイルは次の場所に作成されます。
db.example.com
例4。
この例は、 キーレック によって生成されたファイル ゾーン署名者.
実行されるコマンドは次のとおりです。
# ゾーン署名者 example.com db.example.com
生成された キーレック ファイルには XNUMX つが含まれています キーレックs: ゾーン キーレック、XNUMX個セット キーレックs、XNUMX KSK
キーレック、および XNUMX つの ZSK キーレックs.
ゾーン「example.com」
ゾーンファイル「example.com」
署名ゾーン「db.example.com」
終了時刻 "+2764800"
kskcur "example.com.signset-24"
kskディレクトリ「。」
zskcur "example.com.signset-42"
zskpub "example.com.signset-43"
zskディレクトリ「。」
keyrec_type「ゾーン」
keyrec_signsecs "1115166642"
keyrec_signdate "4 年 00 月 30 日水曜日 42:2005:XNUMX"
「example.com.signset-24」を設定します
ゾーン名「example.com」
キー「Kexample.com.+005+24082」
keyrec_setsecs "1110000042"
keyrec_setdate "5 年 05 月 20 日土曜日 42:2005:XNUMX"
「example.com.signset-42」を設定します
ゾーン名「example.com」
キー「Kexample.com.+005+53135」
keyrec_setsecs "1115166640"
keyrec_setdate "4 年 00 月 30 日水曜日 40:2005:XNUMX"
「example.com.signset-43」を設定します
ゾーン名「example.com」
キー「Kexample.com.+005+13531」
keyrec_setsecs "1115166641"
keyrec_setdate "4 年 00 月 30 日水曜日 41:2005:XNUMX"
キー「Kexample.com.+005+24082」
ゾーン名「example.com」
keyrec_type "kskcur"
アルゴリズム「rsasha1」
ランダム「/dev/urandom」
キーパス「./Kexample.com.+005+24082.key」
ksk長さ「2048」
kskライフ「15768000」
keyrec_gensecs "1110000042"
keyrec_gendate "5 年 05 月 20 日土曜日 42:2005:XNUMX"
キー「Kexample.com.+005+53135」
ゾーン名「example.com」
keyrec_type "zskcur"
アルゴリズム「rsasha1」
ランダム「/dev/urandom」
キーパス「./Kexample.com.+005+53135.key」
zsklength "1024"
zsklife「604800」
keyrec_gensecs "1115166638"
keyrec_gendate "4 年 00 月 30 日水曜日 38:2005:XNUMX"
キー「Kexample.com.+005+13531」
ゾーン名「example.com」
keyrec_type "zskpub"
アルゴリズム「rsasha1」
ランダム「/dev/urandom」
キーパス「./Kexample.com.+005+13531.key」
zsklength "1024"
zsklife「604800」
keyrec_gensecs "1115166638"
keyrec_gendate "4 年 00 月 30 日水曜日 38:2005:XNUMX"
注意事項
1. XNUMX つのゾーンに XNUMX つのゾーン キーレック File
署名セットのコードにはバグがあり、ゾーンを XNUMX つだけ保存する必要があります。
キーレック ファイルにソフトウェアを指定する必要があります。
2. SOA シリアル番号
このバージョンでは、SOA レコードのシリアル番号が単に増加するだけです。 今後の計画
より柔軟なシリアル番号操作が可能になります。
COPYRIGHT
Copyright 2004-2014 SPARTA、Inc。無断複写・転載を禁じます。 に含まれているCOPYINGファイルを参照してください
詳細については、DNSSEC-Toolsパッケージを参照してください。
onworks.net サービスを使用してオンラインで Zonesignerp を使用する
