Commande dnssec-settime
Objectif
Définit les métadonnées de synchronisation de la clé pour une clé DNSSEC (Domain Name System Security Extensions).
Syntaxe
dnssec-settime [-f] [-K répertoire] [-L ttl] [-P date / décalage] [-P ds date / décalage] [-P sync date / décalage] [-A date / décalage] [-R date / décalage] [-I date / décalage] [-D date / décalage] [-D ds date / décalage] [-D sync date / décalage] [-S clé] [-i intervalle] [-h] [-V] [-v niveau] [-E engine] {fichier_clés} [-s] [-g état] [-d state date / décalage] [-k state date / décalage] [-r state date / décalage] [-z state date / décalage]
Descriptif
La commande 'dnssec-settime lit un fichier de clé privée DNSSEC et définit les métadonnées de synchronisation de la clé comme spécifié par les options '-P, '-A, '-R, '-I et '-D. Les métadonnées utilisées par la commande " dnssec-signzone ou par d'autres logiciels de signature déterminent quand une clé doit être publiée, si elle doit être utilisée pour signer une zone, et d'autres détails.
Si aucune de ces options n'est définie, la commande " dnssec-settime imprime les métadonnées de synchronisation de la clé qui sont déjà stockées dans la clé. Lorsque des zones de métadonnées de clé sont modifiées, les deux fichiers d'une paire de clés (Knnnn.+aaa+iiiii.key et Knnnn.+aaa+iiiii.private) sont régénérés.
Les zones de métadonnées sont stockées dans le fichier privé. Une description lisible des métadonnées est également placée en tant que commentaires dans le fichier de clés. Les permissions du fichier privé sont toujours définies pour être inaccessibles à toute personne autre que le propriétaire (mode 0600).
Lorsque vous travaillez avec des fichiers d'état, vous pouvez mettre à jour les métadonnées de synchronisation pour ces fichiers en utilisant l'indicateur '-s. Avec cette option, vous pouvez également mettre à jour les états de clé à l'aide des indicateurs -d (DS), -k (DNSKEY), -r (RRSIG de KSK) ou -z (RRSIG de ZSK). Les états autorisés sont HIDDEN, RUMOURED, OMNIPRESENTet UNRETENTIVE.
L'état d'objectif de la clé peut également être défini à l'aide de l'indicateur -g . Cette valeur doit être soit " HIDDEN, soit " OMNIPRESENT, qui indique si la clé doit être retirée de la zone ou publiée.
Indicateurs
| Article | Descriptif |
|---|---|
| -f | Force la mise à jour d'une clé d'ancien format sans zones de métadonnées. Sans cette option, la commande " dnssec-settime échoue lorsqu'elle tente de mettre à jour une clé ancienne. Avec cette option, la clé est recréée dans le nouveau format, mais les données de la clé d'origine sont conservées. La date de création de la clé est fixée à l'heure actuelle. Si aucune autre valeur n'est spécifiée, les dates de publication et d'activation de la clé sont également fixées à l'heure actuelle. |
| -K répertoire | Définit le répertoire dans lequel doivent se trouver les fichiers de clés. |
| -L ttl | Définit le temps de vie (TTL) par défaut qui doit être utilisé pour cette clé lorsqu'elle est convertie en DNSKEY RR. Cette durée de vie est utilisée lorsque la clé est importée dans une zone, sauf s'il existe un ensemble de ressources DNSKEY, auquel cas la durée de vie existante est prioritaire. Si cette valeur n'est pas définie et que DNSKEY RRset n'est pas disponible, la durée de vie est définie par défaut sur la durée de vie SOA. Si vous définissez la durée de vie par défaut sur 0 ou none, la durée de vie est supprimée de la clé. |
| -h | Affiche un message d'utilisation et quitte. |
| -V | Imprime les informations de version. |
| -v niveau | Définit le niveau de débogage. |
| -E moteur | Indique le matériel de cryptographie qui doit être utilisé, le cas échéant. Lorsque BIND 9 est construit avec OpenSSL, ce drapeau doit être positionné à l'identifiant du moteur OpenSSL qui pilote l'accélérateur cryptographique ou le module de service matériel (habituellement pkcs11. |
Indicateurs de temps
YYYYMMDDou "YYYYMMDDHHMMSS, qui est le format utilisé dans les fichiers clés.- le
Day Mon DD HH:MM:SS YYYYtel qu'il est imprimé par la commande "dnssec-settime -p. - Heure d'origine UNIX telle qu'elle est imprimée par la commande '
dnssec-settime -up - Littéral "
now.
Si l'argument commence par un signe plus (+) ou moins (-), il est interprété comme un décalage par rapport à l'heure actuelle. Le littéral " now peut être omis avant un décalage. Si un tel décalage est suivi d'un des suffixes " y, " mo, " w, " d, " h ou " mi, le décalage est calculé en années (définies comme 365 jours de 24 heures, sans tenir compte des années bissextiles), en mois (définis comme 30 jours de 24 heures), en semaines, en jours, en heures ou en minutes. Sans suffixe, le décalage est calculé en secondes. Pour empêcher explicitement la fixation d'une date, utilisez " none, " never ou " unset.
| Article | Descriptif |
|---|---|
| -P date / décalage | Définit la date à laquelle une clé doit être publiée dans la zone. Après cette date, la clé est incluse dans la zone mais elle n'est pas utilisée pour signer la zone. |
| -P ds date / décalage | Définit la date à laquelle les enregistrements DS correspondant à cette clé étaient disponibles dans la zone parent. |
| -P sync date / décalage | Définit la date à laquelle les enregistrements CDS et CDNSKEY correspondant à cette clé doivent être publiés dans la zone. |
| -A date / décalage | Définit la date à laquelle la clé doit être activée. Après cette date, la clé est incluse dans la zone et est utilisée pour signer la zone. |
| -R date / décalage | Définit la date à laquelle la clé doit être révoquée. Après cette date, la clé est marquée comme révoquée. Il est toujours inclus dans la zone et est utilisé pour signer la zone. |
| -I date / décalage | Définit la date à laquelle la clé doit être retirée. Après cette date, la clé est toujours incluse dans la zone, mais elle n'est pas utilisée pour signer la zone. |
| -D date / décalage | Définit la date à laquelle la clé doit être supprimée. Après cette date, la clé n'est plus incluse dans la zone. Toutefois, il peut rester dans le dépôt de clés. |
| -D ds date / décalage | Définit la date à laquelle les enregistrements DS correspondant à cette clé ont été supprimés de la zone parent. |
| -D sync date / décalage | Définit la date à laquelle les enregistrements CDS et CDNSKEY correspondant à cette clé doivent être supprimés. |
| clé-S | Sélectionne une clé dont la clé modifiée est un successeur explicite. Le nom, l'algorithme, la taille et le type de la clé précédente doivent correspondre exactement aux valeurs de la clé modifiée. La date d'activation de la clé du successeur est définie sur la date d'inactivation du prédécesseur. La date de publication est définie sur la date d'activation moins l'intervalle de prépublication, qui est par défaut de 30 jours. |
| -i Intervalle | Définit l'intervalle de prépublication d'une clé. Si cette option est activée, les dates de publication et d'activation doivent être séparées d'au moins la durée spécifiée. Si la date d'activation est spécifiée mais que la date de publication ne l'est pas, la date de publication est fixée par défaut au moment spécifié avant la date d'activation. Si la date de publication est spécifiée mais que la date d'activation ne l'est pas, l'activation est fixée à la période spécifiée après la publication. Si la clé est créée en tant que successeur explicite d'une autre clé, l'intervalle de prépublication par défaut est de 30 jours, sinon il est de zéro. Comme pour les décalages de date, si l'argument est suivi d'un des suffixes " |
Indicateurs d'état de clé
Pour tester " dnssec-policy, vous devez construire des clés avec des informations d'état artificielles. Ces options sont utilisées par le cadre de test à des fins de test, mais elles ne doivent jamais être utilisées en production.
Les états clés sont " HIDDEN, " RUMOURED, " OMNIPRESENT et " UNRETENTIVE.
| Article | Descriptif |
|---|---|
| -s | Indique que lors du réglage des données de synchronisation des clés, le fichier d'état doit également être mis à jour. |
| -g état | Définit l'état de l'objectif pour cette clé. Doit être HIDDEN ou OMNIPRESENT. |
| -d date / décalage de l'état | Définit l'état du service d'annuaire pour cette clé à partir de la date spécifiée, décalage par rapport à la date en cours. |
| -k date / décalage de l'état | Définit l'état DNSKEY pour cette clé en fonction de la date spécifiée, décalage par rapport à la date en cours. |
| -r date / décalage de l'état | Définit l'état RRSIG (KSK) pour cette clé en fonction de la date spécifiée, décalage par rapport à la date en cours. |
| -z date / décalage de l'état | Définit l'état RRSIG (ZSK) pour cette clé en fonction de la date spécifiée, décalage par rapport à la date en cours. |
Impression des indicateurs
dnssec-settime Est utilisé pour imprimer les métadonnées de synchronisation associées à une clé.
| Article | Descriptif |
|---|---|
| -u | Indique que l'heure doit être imprimée au format UNIX epoch. |
| -p C/P/Pds/Psync/A/R/I/D/Dds/Dsync/all | Imprime une valeur de métadonnées spécifique ou un ensemble de valeurs de métadonnées. L'option " -p peut être suivie d'une ou plusieurs des lettres ou chaînes suivantes pour indiquer la ou les valeurs à imprimer :
|