dnssec-makekeyset 命令
用途
域名系统安全性扩展 (DNSSEC) 区域签名工具。
语法
dnssec-makekeyset [-a] [-s start-time] [-e endtime] [-h] [-p] [-r random dev] [-t ttl] [-v level] {key ...}
描述
dnssec-makekeyset 命令会根据由 dnssec-keygen 命令创建的一个或多个密钥生成密钥集。 它会创建一个文件,该文件包含针对每个密钥的 KEY 记录,并且使用每个区域密钥自签署该密钥集。 输出文件的格式为 keyset-nnnn.,其中 nnnn 是区域名称。
标志
| 项 | 描述 |
|---|---|
| -a | 验证所有生成的签名。 |
| -s 开始时间 | 指定生成的 SIG 记录开始生效的日期和时间。 它可以是绝对时间或相对时间。 绝对开始时间格式为 YYYYMMDDHHMMSS 数字符号;20000530144500 表示 2000 年 5 月 30 日 14:45:00 UTC。 相对开始时间由
+N 指示,表示距当前时间 N 秒。 如果
start-time 未指定,使用当前时间。 |
| -e 结束时间 | 指定生成的 SIG 记录到期的日期和时间。 与
start-time 值一样,绝对时间用 YYYYMMDDHHMMSS 表示法指示。 相对于开始时间的时间用 +N
指示,表示距开始时间 N 秒。 相对于当前时间的时间用 now+N 指示。 如果未指定 end-time,那么会使用距开始时间 30 天的时间作为缺省值。 |
| -h | 显示 dnssec-makekeyset 命令的选项和参数的简短摘要。 |
| -p | 对区域签名时使用伪随机数据。 这比使用真正的随机数据更快,但安全性更差。 此选项在对大区域签名或者熵源有限时可能有用。 |
| -r 随机开发 | 指定随机源。 如果操作系统未提供 /dev/random 或等效设备,那么缺省随机源是键盘输入。 randomdev 值指定包含要使用的随机数据的字符设备或文件的名称(而不是缺省值)。 特殊值键盘指示必须使用键盘输入。 |
| -t | 指定 KEY 记录和 SIG 记录的 TTL(生存时间)。 缺省值为 3600 秒。 |
| -v 级别 | 设置调试级别。 |
参数
| 项 | 描述 |
|---|---|
| key | 要包含在密钥集文件中的密钥列表。 这些密钥以格式
Knnnn.+aaa+iiiii(如 dnssec-keygen 命令所生成)表示。 |
示例
以下命令将生成一个密钥集,其中包含在 dnssec-keygen 联机页面中生成的
example.com 的 DSA 密钥。dnssec-makekeyset -t 86400 -s 20000701120000 -e +2592000 Kexample.com.+003+26160example.com
的 DNS 管理员可将 keyset-example.com. 发送给
.com 的 DNS 管理员以进行签名,前提是
.com 区域能够识别 DNSSEC 并且这两个区域的管理员具有某种机制,用于相互认证并安全交换密钥和签名。