นี่คือคำสั่ง ldns-dane ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ldns-dane - ตรวจสอบหรือสร้างการพิสูจน์ตัวตน TLS ด้วย DANE (RFC6698)
เรื่องย่อ
ldns-เดน [ตัวเลือก] ตรวจสอบ ชื่อ พอร์ต
ldns-เดน [ตัวเลือก] -t tlsafile.txt ตรวจสอบ
ldns-เดน [ตัวเลือก] ชื่อ พอร์ต สร้าง
[ ใบรับรองการใช้งาน [ เลือก [ ประเภทการจับคู่ -
ldns-เดน -h
ldns-เดน -v
DESCRIPTION
ในรูปแบบแรก: การเชื่อมต่อ TLS ไปยัง ชื่อ:พอร์ต จัดตั้งขึ้น ทรัพยากร TLSA
บันทึกสำหรับ ชื่อ ใช้เพื่อตรวจสอบการเชื่อมต่อ
ในรูปแบบที่สอง: บันทึก TLSA จะถูกอ่านจาก tlsafile.txt และใช้เพื่อรับรองความถูกต้องของ
บริการ TLS ที่พวกเขาอ้างอิง
ในรูปแบบที่สาม: การเชื่อมต่อ TLS ไปยัง ชื่อ:พอร์ต ถูกจัดตั้งขึ้นและใช้ในการสร้าง
บันทึกทรัพยากร TLSA ที่จะตรวจสอบการเชื่อมต่อ พารามิเตอร์สำหรับ TLSA
การสร้าง rr คือ:
ใบรับรองการใช้งาน:
0 ข้อจำกัดของ CA
1 ข้อจำกัดใบรับรองบริการ
2 การยืนยันสมอ
3 ใบรับรองที่ออกโดยโดเมน (ค่าเริ่มต้น)
เลือก:
0 ใบรับรองแบบเต็ม (ค่าเริ่มต้น)
1 หัวเรื่อง PublicKeyInfo
ประเภทการจับคู่:
0 ไม่มีแฮชที่ใช้
1 SHA-256 (ค่าเริ่มต้น)
2 SHA-512
อาจใช้ตัวอักษรสองสามตัวแรกของค่าแทนตัวเลข ยกเว้นแฮช
ชื่ออัลกอริทึม ซึ่งต้องระบุชื่อเต็ม
OPTIONS
-4 TLS เชื่อมต่อ IPv4 เท่านั้น
-6 TLS เชื่อมต่อ IPv6 เท่านั้น
-a ที่อยู่
อย่าพยายามแก้ไข ชื่อแต่เชื่อมต่อกับ ที่อยู่ แทน.
ตัวเลือกนี้อาจจะได้รับมากกว่าหนึ่งครั้ง.
-b พิมพ์ "ชื่อ. ประเภท52 \# ขนาด ข้อมูลฐานสิบหก" แทนรูปแบบการนำเสนอ TLSA
-c ใบรับรองไฟล์
อย่าเชื่อมต่อ TLS กับ ชื่อ:พอร์ตแต่รับรองความถูกต้อง (หรือสร้างบันทึก TLSA) สำหรับ
ใบรับรอง (ห่วงโซ่) ใน ใบรับรองไฟล์ แทน.
-d สมมติว่ามีความถูกต้องของ DNSSEC แม้ว่าระเบียน TLSA จะไม่ปลอดภัยหรือไม่ปลอดภัยก็ตาม
ปลอม.
-f CAไฟล์
ใช้ CAfile เพื่อตรวจสอบ
-h พิมพ์วิธีใช้สั้น ๆ
-i โต้ตอบหลังจากเชื่อมต่อ
-k ไฟล์คีย์
ระบุไฟล์ที่มี DNSKEY หรือ DS rr ที่เชื่อถือได้ คีย์ใช้เมื่อ
ไล่ตามลายเซ็น (เช่น -S จะได้รับ)
ตัวเลือกนี้อาจจะได้รับมากกว่าหนึ่งครั้ง.
อีกทางหนึ่ง if -k ไม่ได้ระบุ และจุดยึดความน่าเชื่อถือเริ่มต้น
(/etc/unbound/root.key) มีอยู่และมีบันทึก DNSKEY หรือ DS ที่ถูกต้อง มันจะเป็น
ใช้เป็นที่ยึดทรัสต์
-n ทำ ไม่ ตรวจสอบชื่อเซิร์ฟเวอร์ในใบรับรอง
-o ชดเชย
เมื่อสร้างระเบียนทรัพยากร TLSA "การยืนยันจุดยึดความน่าเชื่อถือ" ให้เลือก ชดเชยth
ใบรับรองออฟเซ็ตจากจุดสิ้นสุดของห่วงโซ่การตรวจสอบ 0 หมายถึงสุดท้าย
ใบรับรอง 1 อัน แต่สุดท้าย 2 อัน แต่อันสุดท้าย ฯลฯ
เมื่อ ชดเชย คือ -1 (ค่าเริ่มต้น) ใบรับรองสุดท้ายถูกใช้ (เช่นเดียวกับ 0) นั้น
ต้องลงนามด้วยตนเอง ซึ่งสามารถช่วยให้แน่ใจว่าสิ่งที่ตั้งใจไว้ (ลงนามเอง)
trust anchor มีอยู่จริงในห่วงโซ่ใบรับรองของเซิร์ฟเวอร์ (ซึ่งก็คือDANE
ความต้องการ)
-p ซีพาธ
ใช้ใบรับรองใน ซีพาธ ไดเรกทอรีเพื่อตรวจสอบ
-s เมื่อสร้างบันทึกทรัพยากร TLSA ด้วย "ข้อจำกัด CA" และ "บริการ
การใช้ใบรับรอง "ข้อจำกัดของใบรับรอง" ไม่ตรวจสอบและถือว่า PKIX เป็น
ถูกต้อง.
สำหรับ "ข้อจำกัดของ CA" หมายความว่าการตรวจสอบควรลงท้ายด้วยการลงนามด้วยตนเอง
ใบรับรอง
-S Chase ลายเซ็นไปยังคีย์ที่รู้จัก
หากไม่มีตัวเลือกนี้ เครือข่ายท้องถิ่นจะเชื่อถือได้ในการจัดเตรียมตัวแก้ไข DNSSEC
(เช่นตรวจสอบบิต AD)
-t tlsafile.txt
อ่านบันทึก TLSA จาก tlsafile.txt. เมื่อ ชื่อ และ พอร์ต จะได้รับ TLSA . เท่านั้น
บันทึกที่ตรงกับ ชื่อ, พอร์ต และ การขนส่ง ถูกนำมาใช้ มิฉะนั้นชื่อเจ้าของ
ของบันทึก TLSA จะถูกใช้เพื่อกำหนด ชื่อ, พอร์ต และ การขนส่ง.
-T ส่งคืนสถานะทางออก 2 สำหรับการเชื่อมต่อที่ตรวจสอบความถูกต้องของ PKIX โดยไม่มี (ปลอดภัย) TLSA
บันทึก
-u ใช้การขนส่ง UDP แทน TCP
-v แสดงเวอร์ชันและออก
ใช้ ldns-dane ออนไลน์โดยใช้บริการ onworks.net
