นี่คือคำสั่ง ldns-signzone ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ldns-signzone - เซ็นชื่อในไฟล์โซนด้วยข้อมูล DNSSEC
เรื่องย่อ
ldns-signzone [ OPTIONS ] โซนไฟล์ คีย์ [คีย์ [คีย์] ... ]
DESCRIPTION
ldns-signzone ใช้เพื่อสร้างโซนที่ลงชื่อ DNSSEC เมื่อรันมันจะสร้างใหม่
zonefile ที่มีระเบียนทรัพยากร RRSIG และ NSEC ตามที่ระบุไว้ใน RFC 4033, RFC 4034
และ RFC 4035
ต้องระบุคีย์ด้วยชื่อฐาน (เช่น ไม่มี .private) ถ้า DNSKEY นั้น
เป็นของคีย์ในไฟล์ .private ไม่มีอยู่ในโซน จะถูกอ่านจาก
ไฟล์ .กุญแจ. หากไม่มีไฟล์นั้น ค่า DNSKEY จะถูกสร้างขึ้น
จากคีย์ส่วนตัว
สามารถระบุคีย์ได้หลายคีย์ คีย์การเซ็นชื่อคีย์จะถูกใช้เมื่อเป็นคีย์เดียวกัน
มีอยู่แล้วในโซนหรือระบุไว้ในไฟล์ .key และตั้งค่าบิต KSK
OPTIONS
-b เสริมโซนและ RR ด้วยข้อความแสดงความคิดเห็นเพิ่มเติมเพื่อให้เลย์เอาต์อ่านง่ายขึ้น
ง่ายต่อการดีบัก ระเบียน DS จะมีข้อมูลในเวอร์ชันแบบฟองสบู่อยู่ใน
ข้อความแสดงความคิดเห็น บันทึก NSEC3 จะมี NSEC3 ดั้งเดิมในข้อความแสดงความคิดเห็น
หากไม่มีตัวเลือกนี้ เฉพาะ DNSKEY RR เท่านั้นที่จะมีคีย์แท็กที่มีคำอธิบายประกอบใน
ข้อความแสดงความคิดเห็น
-d โดยปกติหากไม่พบ DNSKEY RR สำหรับคีย์ที่ใช้ลงชื่อโซนใน
ไฟล์โซนนั้นจะถูกอ่านจาก .key หรือมาจากไพรเวทคีย์ (ในนั้น
คำสั่ง). ตัวเลือกนี้จะปิดคุณสมบัตินั้น เพื่อเพิ่มเฉพาะลายเซ็นเท่านั้น
ไปที่โซน
-e ข้อมูล
กำหนดวันหมดอายุของลายเซ็นเป็นวันที่นี้ ในรูปแบบ
YYYYMMDD[hhmmss] หรือการประทับเวลา
-f ไฟล์
ใช้ไฟล์นี้เพื่อจัดเก็บโซนที่ลงชื่อใน (ค่าเริ่มต้น .ลงนามแล้ว)
-i ข้อมูล
กำหนดวันที่เริ่มต้นของลายเซ็นเป็นวันที่นี้รูปแบบสามารถ
YYYYMMDD[hhmmss] หรือการประทับเวลา
-o ที่มา
ใช้สิ่งนี้เป็นที่มาของโซน
-v พิมพ์เวอร์ชั่นแล้วออก
-A ลงชื่อในระเบียน DNSKEY ด้วยคีย์ทั้งหมด โดยค่าเริ่มต้นจะมีการเซ็นชื่อด้วยค่าน้อยที่สุด
จำนวนคีย์เพื่อให้ขนาดการตอบสนองสำหรับแบบสอบถาม DNSKEY มีขนาดเล็กและมีเพียง
ใช้คีย์ SEP ที่ส่งผ่าน หากไม่มีคีย์ SEP DNSKEY RRset จะเป็น
ลงนามด้วยคีย์ที่ไม่ใช่ SEP ตัวเลือกนี้จะปิดค่าเริ่มต้นและปุ่มทั้งหมดเป็น
ใช้ในการลงนาม DNSKEY RRset
-E ชื่อ
ใช้เครื่องมือเข้ารหัส EVP ที่มีชื่อที่กำหนดสำหรับการลงนาม นี้สามารถมี
ตัวเลือกพิเศษบางอย่าง; ดูตัวเลือกเครื่องยนต์สำหรับข้อมูลเพิ่มเติม
-k รหัส, int
ใช้คีย์ที่มี id ที่กำหนดเป็นคีย์การลงนามสำหรับอัลกอริทึม int เป็น Zone
คีย์การลงนาม ตัวเลือกนี้จะใช้เมื่อคุณใช้กลไก OpenSSL โปรดดูที่ ENGINE OPTIONS
สำหรับข้อมูลเพิ่มเติม
-K รหัส, int
ใช้คีย์ที่มี id ที่กำหนดเป็นคีย์การลงนามสำหรับอัลกอริทึม int เป็นการลงนามคีย์
กุญแจ. ตัวเลือกนี้จะใช้เมื่อคุณใช้กลไก OpenSSL โปรดดูที่ ENGINE OPTIONS for
ข้อมูลมากกว่านี้.
-n ใช้ NSEC3 แทน NSEC
หากคุณใช้ NSEC3 คุณสามารถระบุตัวเลือกเพิ่มเติมต่อไปนี้:
-a ขั้นตอนวิธี
อัลกอริทึมที่ใช้สร้างชื่อเจ้าของ NSEC3 ที่แฮชแล้ว
-p เลือกออก. ระเบียน NSEC3 ทั้งหมดในโซนจะมีการตั้งค่าสถานะการเลือกไม่ใช้ หลังจาก
การลงนาม คุณสามารถเพิ่มการมอบหมายที่ไม่ปลอดภัยให้กับโซนที่ลงนามได้
-s เชือก
เกลือ
-t จำนวน
จำนวนการวนซ้ำของแฮช
เครื่องยนต์ OPTIONS
คุณสามารถแก้ไขเอ็นจิ้นที่เป็นไปได้ หากได้รับการสนับสนุน โดยการตั้งค่าการกำหนดค่า OpenSSL
ไฟล์. สิ่งนี้ทำผ่านตัวแปรสภาพแวดล้อม OPENSL_CONF หากคุณใช้ -E กับ a
ไม่มีชื่อเอ็นจิ้น ldns-signzone จะพิมพ์รายการเอ็นจิ้นที่คุณ . รองรับ
องค์ประกอบ
ตัวเลือกหลัก (-k และ -K) ทำงานดังนี้ คุณระบุรหัสคีย์และอัลกอริธึม DNSSEC
หมายเลข (เช่น 5 สำหรับ RSASHA1) รหัสคีย์อาจเป็นสิ่งต่อไปนี้:
:
NS_
สล็อต_ -NS_
ฉลาก_
สล็อต_ -ฉลาก_
ที่ไหน ' ' เป็นตัวระบุคีย์ PKCS #11 ในรูปแบบเลขฐานสิบหก ' ' คือ PKCS
#11 ป้ายกำกับที่มนุษย์อ่านได้ และ ' ' คือหมายเลขช่องที่มีโทเค็นอยู่
หากยังไม่มี ระบบจะสร้าง DNSKEY RR จากข้อมูลคีย์และเพิ่มลงในโซน
ตัวอย่าง
ldns-signzone nlnetlabs.nl Knlnetlabs.nl.+005+12273
ลงชื่อโซนในไฟล์ 'nlnetlabs.nl' ด้วยคีย์ในไฟล์
'Knlnetlabs.nl.+005+12273.private'. หากไม่มี DNSKEY ในโซน ให้ใช้
คีย์ในไฟล์ 'Knlnetlabs.nl.+005+12273.key' หากไม่มีอยู่
สร้างหนึ่งด้วยค่าเริ่มต้นจาก 'Knlnetlabs.nl.+005+12273.private'
ใช้ ldns-signzone ออนไลน์โดยใช้บริการ onworks.net