Skip to content

ldns-signzone(1)

ldns-signzone

Section: User Commands (1)
Updated: 30 May 2005


名前

ldns-signzone - DNSSECデータでゾーンファイルを署名する

書式

ldns-signzone [ OPTIONS ] ZONEFILE KEY [KEY [KEY] ... ]

説明

ldns-signzoneはDNSSEC署名済みゾーンを生成するために使われます。実行時に、RFC 4033とRFC 4034とRFC 4035で示したように、RRSIGとNSECリソース レコードを含むゾーンファイルを生成します。

鍵ファイルは(.privateなしの)ベース名で指定される必要があります。.privateファイル内の鍵として記述されているDNSKEYがゾーンに存在しなければ、ファイル<ベース名>.keyから読み込まれます。そのファイルが存在しなければ、DNSKEYの値は秘密鍵から生成されます。

複数の鍵を指定できます。鍵署名鍵(KSK)はゾーンにすでに存在するか、.keyファイルで指定されるか、KSKビット セットを持つかするときに使われます。

オプション

-d
普通は、ゾーンを署名するために使われる鍵のDNSKEY RRがゾーン ファイルに見つからなければ、.keyから読まれたり、秘密鍵から(その順番で)取得されたりします。このオプションはその機能をオフにして、署名のみがゾーンに追加されるようにします。
-e date
署名の有効期限の終了日をこの日に設定します。その形式はYYYYMMDD[hhmmss]あるいはタイムスタンプになります。
-f file
このファイルに署名済みゾーンを保存します。デフォルトは「オリジナルファイル.signed」です。
-i date
署名の有効期限の開始日をこの日に設定します。その形式はYYYYMMDD[hhmmss]あるいはタイムスタンプになります。
-l
古いDNSSEC RRSIGとNSECリソースレコードをそのままに残します。デフォルトではゾーンから削除されます。
-o origin
ゾーンのオリジナルとしてこれを使います。
-v
バージョンを表示して、終了します。
-A
すべての鍵でDNSSECレコードを署名します。デフォルトでは最小限の鍵で署名されます。DNSKEYクエリーの応答サイズを小さく保つためです。渡されるSEP鍵のみが使われます。SEP鍵がなければ、DNSKEYリソース レコードは非SEP鍵で署名されます。このオプションはデフォルトをオフにし、すべての鍵がDNSKEYリソースレコードを署名するために使われます。
-E name
署名には指定した名前のEVP暗号エンジンを使います。これはさらにオプションを持ちます。詳しくはエンジン オプションを見てください。
-k id,int
ゾーン署名鍵(ZSK)として、指定したidとアルゴリズム番号を持つ鍵を使います。このオプションはOpenSSLエンジンを使うときに使われます。詳しくはエンジン オプションを見てください。
-K id,int

鍵署名鍵(KSK)として、指定したidとアルゴリズム番号を持つ鍵を使います。このオプションはOpenSSLエンジンを使うときに使われます。詳しくはエンジン オプションを見てください。

-n
NSECの代わりにNSEC3を使います。
NSEC3を使うのであれば、次の追加のオプションを指定できます。
-a algorithm
指定したアルゴリズムはNSEC3のハッシュ化した所有者名を生成するために使われます。
-p
オプトアウト。ゾーン内のすべてのNSEC3レコードはオプトアウト フラグ セットを持ちます。署名後に、署名済みゾーンに安全でない委譲を加えます。
-s string
ソルト。
-t number
ハッシュ計算のイテレーションの回数。

エンジン オプション

OpenSSL設定ファイルを設定することにより、サポートしていれば、利用可能なエンジンを変更することができます。これは環境変数OPENSSL_CONFを通して行われます。存在しないエンジン名で-Eオプションを使ったら、ldns-signzoneは設定でサポートされているエンジンの一覧を表示します。

鍵オプション(-kと-K)は次のように働きます。鍵IDとDNSSECアルゴリズム番号(例えば、RSASHA1では5)を指定します。鍵idは次のどれかになります:


    <id>
    <slot>:<id>
    id_<id>
    slot_<slot>-id_<id>
    label_<label>
    slot_<slot>-label_<label>

ここで、'<id>'は16進数記法のPKCS #11鍵の識別子で、'<label>'はPKCS #11の人が読みやすい形式のラベルで、'<slot>'はトークンが存在するスロット番号です。

まだ、存在しなければ、DNSKEYリソース レコードは鍵データから生成され、ゾーンに追加されます。

ldns-signzone nlnetlabs.nl Knlnetlabs.nl.+005+12273
ファイル'Knlnetlabs.nl.+005+12273.private'内の鍵を持つファイル'nlnetlabs.nl'内のゾーンを署名します。DNSKEYがゾーンに存在しなければ、ファイル'Knlnetlabs.nl.+005+12273.key'内の鍵を使います。それも存在しなければ、'Knlnetlabs.nl.+005+12273.private'からデフォルト値を持つものを生成します。

著者

ldnsの使い方の例として、ldnsチームにより書かれました。

バグの報告の仕方

<ldns-team@nlnetlabs.nl>にバグを報告してください。

著作権

Copyright (C) 2005-2008 NLnet Labs. これはフリーソフトウェアです。無保証です。特定の目的のためへの品質や適合さえありません。