dnssec-verify コマンド
目的
DNSSECゾーンを検証する。
構文
dnssec-verify [-c クラス] [-E エンジン] [-I input-format] [-o origin] [-q] [-v レベル] [-V] [-x] [-z] {zonefile}
説明
dnssec-verifyコマンドは、ゾーンのDNSKEYリソースレコードセット(RRset)に含まれる 各アルゴリズムに対してゾーンが完全に署名されており、NSEC/NSEC3チェーンが完全で あることを検証する。
フラグ
- -c class
ゾーンの DNS クラスを指定します。
- -E エンジン
使用する暗号ハードウェアを指定します (該当する場合)。
BIND 9 がOpenSSL,とともにビルドされる場合、このフラグには暗号アクセラレータまたはハードウェア・サービス・モジュールを駆動するOpenSSLエンジン識別子を設定する必要があります(通常はpkcs11)。 BIND がネ イ テ ィ ブなPKCS#11暗号方式 (
--enable-native-pkcs11) で構築 さ れてい る 場合、 デフ ォ ル ト では 「--with-pkcs11で指定 さ れたPKCS#11プ ロ バ イ ダー ・ ラ イ ブ ラ リ のパスが使用 さ れます。- -I 入力形式
入力ゾーン・ファイルのフォーマットを設定します。 可能な形式は、
text(デフォルト) およびrawです。 このオプションは、非テキスト形式の更新を含むダンプされたゾーンファイルを 独立に検証できるように、主に動的署名付きゾーンに使用することを意図している。 このオプションは非ダイナミック・ゾーンには使えない。- -o 起点
ゾーン起点を示します。 このフラグを指定しない場合、ゾーン・ファイルの名前が起点と見なされます。
- -v レベル
デバッグのレベルを設定します。
- -V
バージョン情報を表示する。
- -q
出力を抑制するクワイエットモードを設定する。 このオプションを指定しない場合、「dnssec-verifyコマンドを実行すると、 使用中の鍵の数、ゾーンの検証に使用したアルゴリズムが正しく署名されたか どうかの情報、その他のステータス情報が標準出力に出力される。 このオプションでは、エラー以外の出力はすべて抑制され、終了コードのみが成功を示す。
- -x
DNSKEY RRsetが鍵署名鍵(KSK)で署名されていることを検証する。 このフラグがない場合、DNSKEY RRsetはすべてのアクティブ鍵で署名されている ものとみなされる。 このフラグが設定されている場合、DNSKEY RRsetがゾーン署名鍵で署名されて いなくてもエラーにはならない。 これは「dnssec-signzoneコマンドの「-xオプションに相当する。
- -z
ゾーンが正しく署名されているかどうかを判断する際に、すべての アクティブ鍵のKSKフラグを無視することを示す。 -zフラグがない場合、KSKフラグが設定されている、破棄されない自己 署名DNSKEYが各アルゴリズムで使用可能であり、DNSKEY RRset以外の RRsetはKSKフラグが設定されていない別のDNSKEYで署名されていると仮定する。
このフラグが設定されている場合、BIND 9はKSKフラグの状態に関わらず、 各アルゴリズムに対して少なくとも1つの破棄されていない自己署名DNSKEYを要求し、 他のRRsetは自己署名鍵を含む同じアルゴリズムに対して破棄されていない 鍵で署名されていなければならない。 同じ鍵を両方の目的で使用できます。 これは「dnssec-signzoneコマンドの「-zオプションに相当する。
パラメーター
- zonefile
署名するゾーンを含むファイルを示す。
