ldns-signzone(1)
ldns-signzone
Section: User Commands (1)
Updated: 30 May 2005
名前
ldns-signzone - DNSSECデータでゾーンファイルを署名する
書式
ldns-signzone [ OPTIONS ] ZONEFILE KEY [KEY [KEY] ... ]
説明
ldns-signzoneはDNSSEC署名済みゾーンを生成するために使われます。実行時に、RFC 4033とRFC 4034とRFC 4035で示したように、RRSIGとNSECリソース レコードを含むゾーンファイルを生成します。
鍵ファイルは(.privateなしの)ベース名で指定される必要があります。.privateファイル内の鍵として記述されているDNSKEYがゾーンに存在しなければ、ファイル<ベース名>.keyから読み込まれます。そのファイルが存在しなければ、DNSKEYの値は秘密鍵から生成されます。
複数の鍵を指定できます。鍵署名鍵(KSK)はゾーンにすでに存在するか、.keyファイルで指定されるか、KSKビット セットを持つかするときに使われます。
オプション
- -d
- 普通は、ゾーンを署名するために使われる鍵のDNSKEY RRがゾーン ファイルに見つからなければ、.keyから読まれたり、秘密鍵から(その順番で)取得されたりします。このオプションはその機能をオフにして、署名のみがゾーンに追加されるようにします。
- -e date
- 署名の有効期限の終了日をこの日に設定します。その形式はYYYYMMDD[hhmmss]あるいはタイムスタンプになります。
- -f file
- このファイルに署名済みゾーンを保存します。デフォルトは「オリジナルファイル.signed」です。
- -i date
- 署名の有効期限の開始日をこの日に設定します。その形式はYYYYMMDD[hhmmss]あるいはタイムスタンプになります。
- -l
- 古いDNSSEC RRSIGとNSECリソースレコードをそのままに残します。デフォルトではゾーンから削除されます。
- -o origin
- ゾーンのオリジナルとしてこれを使います。
- -v
- バージョンを表示して、終了します。
- -A
- すべての鍵でDNSSECレコードを署名します。デフォルトでは最小限の鍵で署名されます。DNSKEYクエリーの応答サイズを小さく保つためです。渡されるSEP鍵のみが使われます。SEP鍵がなければ、DNSKEYリソース レコードは非SEP鍵で署名されます。このオプションはデフォルトをオフにし、すべての鍵がDNSKEYリソースレコードを署名するために使われます。
- -E name
- 署名には指定した名前のEVP暗号エンジンを使います。これはさらにオプションを持ちます。詳しくはエンジン オプションを見てください。
- -k id,int
- ゾーン署名鍵(ZSK)として、指定したidとアルゴリズム番号を持つ鍵を使います。このオプションはOpenSSLエンジンを使うときに使われます。詳しくはエンジン オプションを見てください。
- -K id,int
-
鍵署名鍵(KSK)として、指定したidとアルゴリズム番号を持つ鍵を使います。このオプションはOpenSSLエンジンを使うときに使われます。詳しくはエンジン オプションを見てください。
- -n
- NSECの代わりにNSEC3を使います。
- NSEC3を使うのであれば、次の追加のオプションを指定できます。
- -a algorithm
- 指定したアルゴリズムはNSEC3のハッシュ化した所有者名を生成するために使われます。
- -p
- オプトアウト。ゾーン内のすべてのNSEC3レコードはオプトアウト フラグ セットを持ちます。署名後に、署名済みゾーンに安全でない委譲を加えます。
- -s string
- ソルト。
- -t number
- ハッシュ計算のイテレーションの回数。
エンジン オプション
OpenSSL設定ファイルを設定することにより、サポートしていれば、利用可能なエンジンを変更することができます。これは環境変数OPENSSL_CONFを通して行われます。存在しないエンジン名で-Eオプションを使ったら、ldns-signzoneは設定でサポートされているエンジンの一覧を表示します。
鍵オプション(-kと-K)は次のように働きます。鍵IDとDNSSECアルゴリズム番号(例えば、RSASHA1では5)を指定します。鍵idは次のどれかになります:
<id>
<slot>:<id>
id_<id>
slot_<slot>-id_<id>
label_<label>
slot_<slot>-label_<label>
ここで、'<id>'は16進数記法のPKCS #11鍵の識別子で、'<label>'はPKCS #11の人が読みやすい形式のラベルで、'<slot>'はトークンが存在するスロット番号です。
まだ、存在しなければ、DNSKEYリソース レコードは鍵データから生成され、ゾーンに追加されます。
例
- ldns-signzone nlnetlabs.nl Knlnetlabs.nl.+005+12273
- ファイル'Knlnetlabs.nl.+005+12273.private'内の鍵を持つファイル'nlnetlabs.nl'内のゾーンを署名します。DNSKEYがゾーンに存在しなければ、ファイル'Knlnetlabs.nl.+005+12273.key'内の鍵を使います。それも存在しなければ、'Knlnetlabs.nl.+005+12273.private'からデフォルト値を持つものを生成します。
著者
ldnsの使い方の例として、ldnsチームにより書かれました。
バグの報告の仕方
<ldns-team@nlnetlabs.nl>にバグを報告してください。
著作権
Copyright (C) 2005-2008 NLnet Labs. これはフリーソフトウェアです。無保証です。特定の目的のためへの品質や適合さえありません。