dnssec-signkey 命令
用途
域名系统安全性扩展 (DNSSEC) 密钥集签名工具。
语法
dnssec-signkey [-a] [-c class] [-s start-time] [-e endtime] [-h] [-p] [-r random dev] [-v 级别] keyset key
描述
dnssec-signkey 命令会对密钥集进行签名。 通常,该密钥集用于子域,并且由
dnssec-makekeyset 命令生成。 该子域的密钥集是使用其父域的区域密钥签名的。 输出文件的格式为 signedkey-nnnn.,其中
nnnn 是区域名称。
标志
| 项 | 描述 |
|---|---|
| -a | 验证所有生成的签名。 |
| -c Class | 指定密钥集的 DNS 类。 |
| -s 开始时间 | 指定生成的 SIG 记录变为有效的日期和时间。 它可以是绝对时间或相对时间。 绝对开始时间格式为 YYYYMMDDHHMMSS 数字符号;20000530144500 表示 2000 年 5 月 30 日 14:45:00 UTC。 相对开始时间由 +N 指示,表示距当前时间 N 秒。 如果
start-time 未指定,使用当前时间。 |
| -e 结束时间 | 指定生成 SIG 记录到期的日期和时间。 与开始时间一样,绝对时间以 YYYYMMDDHHMMSS 表示法表示。 相对于开始时间的时间用 +N 指示,表示距开始时间
N 秒。 相对于当前时间的时间用 now+N 指示。 如果未指定 end-time,那么会使用距开始时间 30 天的时间作为缺省值。 |
| -h | 显示 dnssec-signkey 命令的选项和参数的简短摘要。 |
| -p | 对区域签名时使用伪随机数据。 这比使用真正的随机数据更快,但安全性更差。 此选项在对大区域签名或者熵源有限时可能有用。 |
| -r 随机开发 | 指定随机源。 如果操作系统未提供 /dev/random 或等效设备,那么缺省随机源是键盘输入。 randomdev 指定包含要使用的随机数据的字符设备或文件的名称(而不是缺省值)。 特殊值键盘指示必须使用键盘输入。 |
| -v 级别 | 设置调试级别。 |
参数
| 项 | 描述 |
|---|---|
| keyset | 包含子代的密钥集的文件。 |
| key | 用于对子代的密钥集进行签名的密钥。 |
示例
DNSSEC 感知
.com 区域的 DNS 管理员使用以下命令,使用 dnssec-keygen 命令生成的密钥对 dnssec-makekeyset 命令为 example.com 创建的密钥集文件进行签名:dnssec-signkey keyset-example.com. Kcom.+003+51944example.com 密钥和 .com 密钥的签名。