dnssec-importkey 命令

用途

从外部系统导入域名服务器密钥 (DNSKEY) 记录，以便可以管理这些记录。

语法

dnssec-importkey [-K 目录] [-L ttl] [-P date/offset] [-P sync date/offset] [-D date/offset] [-D sync date/offset] [-h] [-v level] [-V] {密钥文件}

dnssec-importkey {-f filename} [-K directory] [-L ttl] [-P date/offset] [-P sync date/offset] [-D date/offset] [-D sync date/offset] [-h] [-v 级别] [-V] [dnsname]

描述

dnssec-importkey 命令读取公共 DNSKEY 记录并生成一对 .key/.private 文件。 DNSKEY 记录可以从现有的 ".key文件中读取，在这种情况下会生成相应的 ".private文件，也可以从任何其他文件中读取或从标准输入中读取，在这种情况下会生成 ".key和 ".private文件。

新的 .private 文件不包含专用密钥数据，并且不能用于签名。 不过，".private文件可以设置密钥的发布（-P）和删除（-D）时间，这意味着即使真正的私钥是离线存储的，也可以按计划将公钥添加到 DNSKEY 资源记录集（RRset）或从其中删除。

标志

-f FileName

指示区域文件方式。 可以指定包含区域主文件 DNS 域名的文件名参数，而不是公钥文件名。 如果域名与 filename相同，那么可以省略自变量。

如果 filename 设置为 -，那么将从标准输入读取区域数据。

-h

显示使用情况消息并退出。

-K 目录

设置密钥文件所在的目录。

-L

设置 ".key文件添加到 DNSKEY RRset 时必须使用的默认生存时间 (TTL)。 将密钥导入到区域时，将使用此 TTL。 如果 DNSKEY RRset 已经存在，则现有 TTL 优先。 如果将默认 TTL 设置为 "0或 "none，TTL 将从 ".key文件中移除。

-V

打印版本信息。

-v 级别

设置调试级别。

计时标志

日期可以用 YYYYMMDD 或 YYYYMMDDHHMMSS 格式表示。 如果参数以 "+或 "-开头，则被解释为从当前时间开始的偏移量。 If an offset is followed by one of the suffixes y, mo, w, d, h, or mi, the offset is computed in years (defined as 365 24-hour days, ignoring leap years), months (defined as 30 24-hour days), weeks, days, hours, or minutes, respectively. 如果不使用后缀，那么将以秒为单位计算偏移量。 要明确阻止设置日期，请使用 "none或 "never。

-D 日期/偏移量

设置必须删除密钥的日期。 在该日期之后，该密钥将不再包含在区域中。 不过，它可以保留在密钥存储库中。

-D sync 日期/偏移量

设置必须删除与专用密钥匹配的 CDS 和 CDNSKEY 记录的日期。

-P 日期/偏移量

设置必须将密钥发布到区域的日期。 在该日期之后，密钥将包含在区域中，但不用于签署区域。

-P sync 日期/偏移量

设置必须将与专用密钥匹配的 CDS 和 CDNSKEY 记录发布到区域的日期。

文件

密钥文件可以用密钥标识 "Knnnn.+aaa+iiiii或由 "dnssec-keygen命令生成的完整文件名 "Knnnn.+aaa+iiiii.key来定义。