이것은 Ubuntu Online, Fedora Online, Windows online emulator 또는 MAC OS online emulator와 같은 다양한 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 제공자에서 실행할 수 있는 명령 ods-ksmutil입니다.
프로그램:
이름
ods-ksmutil - OpenDNSSEC 영역 및 키 관리
개요
ods-ksmutil 설치
ods-ksmutil [ 스타트 | 중지 | 통보 ]
ods-ksmutil 최신 정보 [ 카스프 | 존리스트 | conf의 | 모든 ]
ods-ksmutil 지역 [ 더하다 | 삭제 | 명부 ] ...
ods-ksmutil 존리스트 [ import | 수출 ]
ods-ksmutil 키 [ 생성 | import | 수출 | 명부 | 하제 | 롤오버 | ksk-은퇴 |
ds-보았다 | 삭제 ] ...
ods-ksmutil 롤오버 명부 ...
ods-ksmutil 정책 [ 수출 | import | 하제 ] ...
ods-ksmutil 저장소 명부 ...
ods-ksmutil 백업 [ 명부 | 준비 | 범하다 | 롤백 | 한 ]
ods-ksmutil 데이터베이스 백업 ...
기술
ods-ksmutil OpenDNSSEC의 일부인 KASP Enforcer의 운영을 관리합니다.
정책에 따라 도메인에서 키 생성 및 서명 작업을 트리거합니다.
사용자 정의 타이밍 및 보안 요구 사항. 이 관리를 넘어서는 모든 것이
유틸리티는 일반적으로 자동입니다. ods-ksmutil OpenDNSSEC을 관리하는 기본 도구입니다.
의 기능 중 ods-ksmutil 주요 관리, 영역 목록 업데이트 등이 있습니다.
열쇠 분실 등의 예외적인 상황에서 복구하기 위해 수동으로 열쇠를 굴립니다.
시작하려면 첫 번째 호출이 필요합니다. ods-ksmutil 설치 필요합니다. 설정 및 업데이트를 참조하세요.
자세한 내용은 아래 명령을 참조하세요. 이 작업이 완료되면 나머지 기능이 실행됩니다.
ods-ksmutil 사용할 수있게됩니다.
다음 섹션에서는 논리적 그룹의 하위 명령을 설명하고 모든 옵션을 자세히 설명합니다.
그들이 지지하는 것.
일반적인 옵션
-c 구성 파일, --구성 구성 파일
기본적으로 사용되는 conf.xml 파일을 변경합니다.
도움 이것은 하위 명령으로 사용될 수 있습니다 ods-ksmutil 또는 부분 후에 사용할 수도 있습니다.
하위 명령. 응답으로, ods-ksmutil 계속하는 방법에 대한 개요를 제공합니다.
명령.
-V, --번역
버전 번호 표시
설정 및 UPDATE 하위 명령
설치 conf.xml, kasp.xml 및 zonelist.xml을 데이터베이스로 가져옵니다. 이렇게 하면 모든 항목이 삭제됩니다.
OpenDNSSEC 관리를 통한 데이터베이스의 현재 관리 정보
키에 대한 참조를 포함한 정보. 기존 설정에 대한 업데이트는
따라서 일반적으로 이 하위 명령을 실행하지 않지만 최신 정보 대신.
최신 정보 카스프
최신 정보 존리스트
최신 정보 conf의
최신 정보 모든
해당 구성 파일의 내용으로 데이터베이스를 업데이트하거나
그 파일들. 결과는 다음과 비슷합니다. 설치 하위 명령은 다음을 제외하고
OpenDNSSEC에 대한 관리 정보는 삭제되지 않습니다.(또한 kasp 업데이트도 참고하세요.
데이터베이스에서 어떠한 정책도 제거하지 않으며 정책 제거를 사용하여 제거할 수 있습니다.
사용되지 않는 정책).
존 조치 하위 명령
지역 더하다 --존|-z 지역 [--정책|-p name] [--in-type|-j 유형] [--out-type|-q 유형]
[--입력|-i 입력] [--출력|-o 출력] [--xml 없음]
zonelist.xml과 데이터베이스에 모두 영역을 추가합니다. 이는 수동으로 추가하는 것과 동일합니다.
zonelist.xml을 편집한 다음 실행 최신 정보 존리스트 하위 명령. --zone
옵션은 추가할 영역의 이름을 지정하고 --policy 옵션은 대신 사용할 정책의 이름을 지정합니다.
기본적으로 --in-type 및 --out-type은 입력 및 출력 유형을 지정합니다.
어댑터(DNS 또는 파일이어야 하며 기본값은 파일임) --input 옵션은 다음을 지정합니다.
서명되지 않은 영역에 대한 비표준 위치(기본값은 다음과 같습니다.
/var/lib/opendnssec/unsigned/ZONE) 또는 DNS 입력 파일(기본값은
/etc/opendnssec/addns.xml); --output 옵션은 비표준 위치를 지정합니다.
서명된 영역(기본값은 /var/lib/opendnssec/signed/ZONE) 또는 DNS 출력에 대해
파일(기본값은 /etc/opendnssec/addns.xml입니다). --no-xml 플래그는 다음을 중지합니다.
zonelist.xml 파일이 업데이트되지 않도록 합니다. 이것은 배치 모드에 적합합니다.
여러 개의 구역을 추가한 후에 마지막에 zonelist를 한 번만 작성합니다.
지역 삭제 --존|-z name [--xml 없음]
지역 삭제 --모두|-a
zonelist.xml과 다음 두 가지 모두에서 각각 하나의 영역(또는 모든 영역)을 삭제합니다.
데이터베이스. 이것은 zonelist.xml을 수동으로 편집한 다음 실행하는 것과 같습니다.
최신 정보 존리스트 하위 명령입니다. --no-xml 플래그는 zonelist.xml 파일을 중지합니다.
업데이트 중입니다. 이것은 여러 개를 삭제하는 일괄 모드에 적합합니다.
zones를 작성한 다음 마지막에 zonelist를 한 번만 작성합니다.
지역 명부
zonelist.xml에서 구역을 나열합니다. TODO: 데이터베이스에서 가져오지 않으시겠습니까?
존리스트 수출
zonelist.xml과 동일한 형식으로 데이터베이스에서 영역 목록을 내보냅니다.
존리스트 import
zonelist.xml의 내용과 데이터베이스를 동기화합니다. "update"와 동일합니다.
존리스트"
KEY 조치 하위 명령
키 생성 --정책|-p name --간격|-n 간격 [--존토탈|-Z 존토탈]
지정된 정책이 지정된 기간 동안 지속될 수 있도록 충분한 키를 생성합니다.
간격. 타이밍 사양의 형식은 INTERVAL FORMAT을 참조하세요.
구성된 경우, OpenDNSSEC은 필요에 따라 자동으로 키를 생성합니다.
이 명령은 키를 미리 생성하는 데 사용할 수 있습니다(예상 수명 동안).
HSM)을 사용하여 백업 정책을 지원합니다. 또한 사전 생성하는 편리한 방법이기도 합니다.
재해 복구 사이트에서 키 사본을 보유할 수 있도록 하는 키 세트
즉석에서 생성된 키를 동기화하는 데 필요합니다.
기본적으로 명령은 지정된 위치에서 발견된 모든 영역에 대한 키를 생성합니다.
정책. 선택적 매개변수 --zonetotal이 지정되면 키가 지정됩니다.
실제로 얼마나 많은 영역이 있는지에 관계없이 해당 총 영역 수에 대해 생성됩니다.
현재 정책에 따라 진행 중입니다.
키 import --알고리즘|-g 알그네임 --비트|-b 비트 --저장소|-r REPO --cka_id|-k 케이드
--존|-z 지역 --키타입|-t 유형 --키상태|-e 상태 --시간|-w 시간 [--check-repository|-C
체크리포지토리] [--은퇴|-y 시간]
OpenDNSSEC 코드 외부에서 생성된 키를 데이터베이스에 추가합니다.
그렇게 하려면 키 관리에 관련된 추가 세부 사항을 지정해야 합니다.
옵션을 제공합니다.
--algorithm 옵션은 이 키와 함께 사용되는 알고리즘의 이름을 지정하고 --bits는 다음을 지정합니다.
이 알고리즘의 강점은 키 크기를 비트로 나타낸 것입니다.
--repository 옵션은 키가 저장되어야 하는 저장소의 이름을 지정합니다.
--cka_id 옵션은 해당 키를 식별하는 데 사용될 이름을 지정합니다.
저장소; --zone 옵션은 이 키가 사용될 영역을 지정합니다.
--keytype 옵션은 이 키가 KSK로 작동해야 하는지 아니면 ZSK로 작동해야 하는지 지정합니다.
이러한 용어에 대한 소개는 아래의 주요 유형을 참조하세요.
--keystate 옵션은 가져온 후 키의 상태를 지정합니다.
그리고 아래 KEY STATES 섹션에 정의된 옵션 중 하나여야 합니다. --time
옵션은 이 키가 생성된 시간을 지정합니다. --check-repository 옵션
지정된 키가 일치하는 경우 키 가져오기가 실패하도록 지정됨
cka_id는 저장소에 존재합니다. --retire 옵션은 이것이 존재하는 시간을 지정합니다.
키는 폐기되어야 합니다. 이 마지막 두 옵션은 TIME에 제공된 형식을 사용합니다.
아래의 형식 섹션을 참조하세요.
키 수출 --존|-z name [--키상태|-e 상태] [--키타입|-t 유형] [--디]
키 수출 --모두 [--키상태|-e 상태] [--키타입|-t 유형] [--디]
특정 영역 또는 모든 영역에 대한 키를 각각 내보내려면
데이터베이스. --ds 옵션은 DS 레코드를 검색하여 업로드하는 데 사용할 수 있습니다.
전체 키 대신 레지스트리를 사용할 수 있습니다. --keystate 옵션을 사용하면 제한할 수 있습니다.
지정된 상태의 키에 대한 출력; --keytype 옵션을 사용하여 제한할 수 있습니다.
주어진 유형의 키에 대한 출력입니다. 다음을 참조하세요. KEY 타입 그리고 KEY 주 섹션 이하
을 통한 a 명세서 of 가능한 주요 유형 및 상태.
키 명부 [--존 이름] [--말 수가 많은] [--키상태|--모두|-e 상태|-a] [--키타입 유형|-t 유형]
모든 구역 또는 특정 구역의 키에 대한 정보를 나열합니다. 기본적으로 키
GENERATE 및 DEAD 상태는 표시되지 않습니다.
--verbose 옵션은 각 키에 대한 추가 정보를 나열하는 데 사용됩니다.
--keystate 옵션은 주어진 상태의 키로 출력을 제한하는 데 사용할 수 있습니다.
--all 옵션을 사용하면 모든 상태(GENERATE 및 DEAD 포함)의 키가 사용됩니다.
표시됩니다. --keytype 옵션을 사용하면 출력을 지정된 키로 제한할 수 있습니다.
유형. 참조 KEY 타입 그리고 KEY 주 섹션 이하 을 통한 a 명세서 of
가능한 주요 유형 및 상태.
키 하제 --존|-z name
키 하제 --정책|-p name
저장소와 데이터베이스에서 Dead 상태의 모든 키를 제거합니다.
KASP Enforcer. --zone 및 --policy 옵션은 이 작업을 제한하는 데 사용됩니다.
각각 단일 명명된 영역 또는 정책입니다.
키 롤오버 --존|-z name --키타입 유형|-t 유형
키 롤오버 --존|-z name --모두|-a
키 롤오버 --정책|-p name --키타입 유형|-t 유형
키 롤오버 --정책|-p name --모두|-a
각각 명명된 영역 또는 정책에서 활성 키를 롤오버합니다. 이 명령은
수동 롤오버를 시작하는 데 사용됩니다. 지정되지 않으면 OpenDNSSEC이 자동으로
필요할 때 롤오버 키를 시작합니다. (또는 KSK의 경우 시작됩니다.
롤오버 프로세스, KSK 롤오버를 완료하려면 아래 ksk-roll을 참조하세요.)
--keytype 옵션은 굴릴 키의 유형을 지정합니다. 또는 --all
두 가지 유형의 키를 모두 굴릴 수 있는 옵션을 사용할 수 있습니다. 실행 후 KASP
서명자에게 새로운 정보를 전송하기 위해 시행자가 깨어납니다.
영역이 있는 정책에서 키가 공유되도록 지정하는 경우 해당 영역의 모든 영역은
해당 정책이 롤백됩니다. 적절한 경우 sqlite DB 파일의 백업이 만들어집니다.
현재 키에서 인수할 준비가 된 키가 없는 경우 롤오버가 수행됩니다.
즉시 발생하지는 않지만 준비 상태에 도달할 때까지 연기됩니다.
키 ksk-은퇴 --존|-z 지역
키 ksk-은퇴 --키태그|-x 키태그
키 ksk-은퇴 --cka_id|-k 케이드
현재 활성화된 키를 폐기해야 한다는 것을 OpenDNSSEC에 알립니다. 키가
식별자가 제공되지 않으면 해당 영역에서 가장 오래된 키가 폐기됩니다.
활성 상태인 키가 하나뿐인 경우 이 명령은 오류와 함께 종료됩니다.
완료하면 활성 키가 남지 않으므로 메시지가 표시됩니다.
키 ds-보았다 --존|-z 지역 --키태그|-x 키태그 [--알림없음|-l] [--은퇴하지 않음|-f]
키 ds-보았다 --존|-z 지역 --cka_id|-k 케이드 [--알림없음|-l] [--은퇴하지 않음|-f]
제출된 DS 레코드가 부모 영역에 나타났음을 OpenDNSSEC에 표시합니다.
그리고 이로써 KSK 롤오버 완료가 트리거됩니다. 이 작업은
아직 표준화되어 있기 때문에 일반적이고 자동화된 방식으로 해결할 수 없습니다.
이 명령은 개인화된 설정에 포함되도록 설계되었습니다.
자동화되지 않아야 함.
DNS에 어떤 DS가 있는지 지정하는 방법은 여러 가지가 있으며 옵션은 이를 반영합니다.
대안. --keytag 옵션은 키 태그 역할을 하는 짧은 정수를 지정합니다.
키에 대한 DNSSEC 핸들; --cka_id 옵션은 긴 방식으로 키를 참조합니다.
저장소에서 키를 식별하는 데 사용되는 16진수 식별자입니다.
선택 사항인 --no-notify 플래그도 전달하여 시행자가 다음을 수행하지 못하도록 할 수 있습니다.
이 변경 사항을 통보받았습니다. 이 플래그를 사용하는 경우 시행자는
'ods-enforcerd notify' 명령을 사용하여 수동으로 알림을 받거나 변경 사항이 적용되지 않습니다.
다음에 예정된 시행 때까지 적용됩니다.
선택 사항인 --no-retire 플래그도 기존 키 없이 전달될 수 있습니다.
새 키를 활성화하는 동시에 은퇴 상태로 이동됩니다.
이 단계를 지연하려면 이 플래그를 전달하고 ksk-retire 명령을 사용하십시오.
필요할 때.
키 삭제 --cka_id|-k 케이드 [--hsm 없음]
시스템에서 명명된 키를 제거합니다.
GENERATE 또는 DEAD 상태의 키는 시스템에서 안전하게 제거될 수 있습니다.
사용되지 않습니다.
HSM에 키 자료를 남겨두려면 --no-hsm 플래그를 제공할 수 있습니다.
롤오버 명부
다가올 롤오버의 예상 날짜와 시간을 나열합니다. 이것은 다음을 얻는 데 사용할 수 있습니다.
DS 레코드의 비표준화 제출과 같은 다가올 작업에 대한 아이디어
등록부.
갱신 행정 하위 명령
정책 수출 [--정책|--모두|-p|-a]
kasp.xml 파일과 동일한 형식으로 데이터베이스에서 정책을 내보냅니다.
정책 import
kasp.xml의 내용으로 데이터베이스를 업데이트합니다. "update kasp"와 동일합니다.
정책 하제
* 실험적 *
연관된 영역이 없는 모든 정책을 제거합니다. 이 점에 유의하세요.
이 명령은 실험실 환경에서만 테스트되었으므로 주의가 필요합니다.
저장소 및 백업 하위 명령
저장소 명부
데이터베이스에서 저장소를 나열합니다.
백업 명부 --저장소|-r name
주어진 저장소에서 만들어진 백업을 나열합니다. --repository
옵션은 나열할 저장소를 지정합니다.
백업 준비 --저장소|-r name
2단계 키 백업 절차를 시작합니다. 지금까지 생성된 키를 준비합니다.
백업. 이 명령 후 OpenDNSSEC에서 자동으로 생성된 키는 없습니다.
백업이 보장되므로 고려되지 않습니다.
OpenDNSSEC에서 사용할 준비된 키를 커밋합니다. 다음 명령은 일반적으로 다음과 같습니다.
중 백업 범하다 또는 키 백업 자체가 실패한 경우, 백업
롤백. 이 시퀀스는 KASP Enforcer가 실행 중이면 안정적으로 작동합니다.
아니요, 단일 단계 백업 백업 한 1단계 백업을 제공합니다
대안.
백업 범하다 --저장소|-r name
2단계 키 백업 절차를 성공적으로 종료합니다. 키 백업이 완료된 후
성공, OpenDNSSEC에서 서비스를 위해 이전에 준비한 모든 키를 해제합니다.
마지막 발행 준비 이후 생성된 키는 릴리스되지 않습니다.
이것들이 실제로 백업되는지는 불확실하다.
백업 롤백 --저장소|-r name
실패한 2단계 키 백업 절차를 안전하게 종료합니다. 키 백업이 실패한 후,
이전에 준비된 모든 키를 생성된 상태로 롤백하지만
아직 OpenDNSSEC에서 서비스를 제공할 수 없습니다. 이 문제를 해결한 후 새로운
열쇠를 백업해 볼 수 있습니다.
백업 한 --저장소|-r name [--힘]
*사용되지 않음*
주어진 저장소의 백업이 완료되었으며 백업되지 않은 모든 항목이 완료되었음을 나타냅니다.
이제 키는 백업된 것으로 표시됩니다. --repository 옵션은 다음을 지정합니다.
목록에 저장소를 추가하세요.
KASP Enforcer가 키 생성을 주도할 수 있습니다.
백업이 시작되고 백업이 완료되기 전입니다. 이 단일 단계 백업 명령
KASP Enforcer가 실행 중이 아닐 때 안전한 것을 포기합니다.
Enforcer를 계속 실행하려면 대신 2단계를 사용해야 합니다. 백업
준비 다음 중 하나 백업 범하다 or 백업 롤백.
데이터베이스 백업 [--출력|-o 산출]
KASP Enforcer의 데이터베이스 사본을 만듭니다(sqlite를 사용하는 경우). 이 명령은
먼저 잠금을 해제하여 데이터베이스가 일관된 상태인지 확인합니다.
--output 옵션은 출력이 어디로 가야 하는지 지정합니다. 지정하지 않으면 출력
일반적인 enforcementr.db.backup 파일로 이동합니다.
방법 통제 하위 명령
시작|중지|알림
ods-enforcerd 프로세스를 시작, 중지 또는 "SIGHUP"를 보냅니다.
KEY 주
일으키다
키가 생성되었지만 아직 사용할 준비가 되지 않았습니다.
출판
키가 부모 영역에 게시되었습니다.
준비 키가 사용할 준비가 되었습니다. 예를 들어 정책의 설정에 따라 키가
모든 리졸버에 전파될 만큼 오랫동안 게시되었습니다.
활성화 키가 하나 이상의 영역에 서명하는 데 적극적으로 사용되고 있습니다.
RETIRE 키는 예정된 수명이 다했거나 롤링되었습니다.
조기에. 그러나 그것으로 서명된 레코드는 여전히 캐시될 수 있습니다. sp 키는
아직 출판 중.
DEAD 키가 너무 오랫동안 사용되지 않아 더 이상 캐시되지 않습니다.
해당 영역에서 제거되었습니다.
KEY 타입
키는 KSK 또는 ZSK의 두 가지 유형이 될 수 있습니다. 이러한 용어는 다음에서 더 자세히 설명합니다.
오픈 DNS 보안(1).
DNS 레코드에서 KSK는 일반적으로 SEP(Secure Entry Point)를 통해 인식될 수 있습니다.
플래그 세트. 하지만 공식적으로는 단순한 힌트라는 점을 알아두세요.
간격 FORMAT
키 생성 실행에 대한 간격을 지정할 때 ISO 8601 표준이 사용됩니다. 예:
P2Y6M은 2년 6개월, PT12H30M은 12시간 30분입니다. XNUMX년
365개월은 31일로 가정하고, XNUMX개월은 XNUMX일로 가정합니다.
TIME 형식
가져오는 키에 대한 생성/폐기 시간을 지정할 때 다음 형식이 사용됩니다.
이해된다:
년월일[월[화]]]
(모두 숫자)
D-MMM-YYYY[:| ]HH[:MM[:SS]]
일-월-년[:| ]월[:화]
YYYY-MMM-DD[:| ]HH[:MM[:SS]]
(알파벳순 월)
일-월-년-월[:| ]월[:월]]
일-월-년[:| ]월[:화]
년-월-일[:| ]월[:월]]
(숫자로 표현된 월)
onworks.net 서비스를 사용하여 ods-ksmutil을 온라인으로 사용하세요
