dnssec-makekeyset コマンド
目的
ドメイン・ネーム・システム・セキュリティー拡張 (DNSSEC) ゾーン署名ツール。
構文
dnssec-makekeyset [ -a ] [ -s start-time ] [ -e end-time ] [ -h ] [ -p ] [ -r randomdev ] [ -t ttl ] [ -v level ] {key...}
説明
dnssec-makekeyset コマンドは、dnssec-keygen コマンドによって生成された 1 つ以上のキーから、1 つのキー・セットを生成します。 これは、 各キーの KEY レコードを含むファイルを作成し、各ゾーン・キーでキー・セットに自己署名を行います。出力ファイルは keyset-nnnn. のフォームです (nnnn はゾーン名)。
フラグ
項目 | 説明 |
---|---|
-a | すべての生成された署名を検査します。 |
-s start-time | 生成された SIG レコードが有効になる日付および時刻を指定します。これは、絶対時刻または相対時刻のいずれかを指定できます。絶対開始時刻は、
YYYYMMDDHHMMSS 表記の数字で示されます。
20000530144500 は、2000 年 05 月 30 日 14:45:00 UTC (協定世界時) を表します。相対開始時刻は
+N (現在時刻から N 秒) で示されます。start-time が指定されない場合は、現在時刻が使用されます。 |
-e end-time | 生成された SIG レコードが期限切れとなる日付および時刻を指定します。start-time 値と同様、絶対時刻は YYYYMMDDHHMMSS 表記で示されます。
開始時刻 (start time) に対する相対時刻は、
+N (開始時刻から N 秒) で示されます。現在時刻に対する相対時刻は、now+N で示されます。
end-time が指定されなかった場合、開始時刻から 30 日の時間がデフォルトとして使用されます。 |
-h | dnssec-makekeyset コマンドに対するオプションおよび引数の簡略な要約を印刷します。 |
-p | ゾーンに署名する際に、疑似ランダム・データを使用します。これは、 より速くなりますが、実ランダム・データを使用するよりも安全性が低下します。このオプションは、大きいゾーンに署名する場合や、エントロピー・ソースが限られている場合に便利です。 |
-r randomdev | ランダムのソースを指定します。オペレーティング・システムが /dev/random または同等のデバイスを提供しない場合、ランダム性のデフォルトのソースはキーボード入力です。 randomdev 値は、デフォルトの代わりに使用されるランダム・データを含むキャラクター・デバイスまたはファイルの名前を指定します。特殊値 keyboard は、キーボード入力を使用する必要があることを示します。 |
-t ttl | KEY および SIG レコードの TTL (time to live: 存続時間) を指定します。デフォルトは 3600 秒です。 |
-v level | デバッグのレベルを設定します。 |
パラメーター
項目 | 説明 |
---|---|
key | キー・セット・ファイルに含まれるキーのリスト。これらのキーは、
dnssec-keygen コマンドで生成されたとおりに Knnnn.+aaa+iiiii のフォームで表されます。 |
例
次のコマンドは、
dnssec-keygen
マニュアル・ページで生成された example.com
の DSA キーを含むキー・セットを生成します。dnssec-makekeyset -t 86400 -s 20000701120000 -e +2592000 Kexample.com.+003+26160
この例では、dnssec-makekeyset コマンドはファイル
keyset-example.com. を作成します。このファイルは、
指定されたキーおよび自己生成した署名を含みます。.com
ゾーンが DNSSEC 指向であり、
2 つのゾーンの管理者が互いに認証し、キーと署名を安全に交換するためのメカニズムを持っている場合は、
example.com の DNS 管理者は、署名のために
keyset-example.com.
を .com
の DNS 管理者へ送信することができます。