dnssec-signkey コマンド
目的
ドメイン・ネーム・システム・セキュリティー拡張 (DNSSEC) キー・セット署名ツール。
構文
dnssec-signkey [-a] [-c class] [-s start-time] [-e end-time] [-h] [-p] [-r randomdev] [-v level] keyset key
説明
dnssec-signkey コマンドは、キー・セットの署名を行います。一般に、キー・セットは子ゾーン用であり、dnssec-makekeyset コマンドによって生成されます。子ゾーンのキー・セットは、
その親ゾーンのゾーン・キーで署名されます。出力ファイルは signedkey-nnnn.
のフォームです (nnnn はゾーン名)。
フラグ
| 項目 | 説明 |
|---|---|
| -a | すべての生成された署名を検査します。 |
| -c class | キー・セットの DNS クラスを指定します。 |
| -s start-time | 生成された SIG レコードが有効になる日付および時刻を指定します。これは、絶対時刻または相対時刻のいずれかを指定できます。絶対開始時刻は、
YYYYMMDDHHMMSS 表記の数字で示されます。
20000530144500 は、2000 年 05 月 30 日 14:45:00 UTC (協定世界時) を表します。相対開始時刻は
+N (現在時刻から N 秒) で示されます。start-time が指定されない場合は、現在時刻が使用されます。 |
| -e end-time | 生成された SIG レコードが期限切れとなる日付および時刻を指定します。start-time と同様、
絶対時刻は YYYYMMDDHHMMSS 表記で示されます。開始時刻 (start time) に対する相対時刻は、
+N (開始時刻から N 秒) で示されます。現在時刻に対する相対時刻は、now+N で示されます。
end-time が指定されなかった場合、開始時刻から 30 日の時間がデフォルトとして使用されます。 |
| -h | dnssec-signkey コマンドに対するオプションおよび引数の簡略な要約を印刷します。 |
| -p | ゾーンに署名する際に、疑似ランダム・データを使用します。 これは、 より速くなりますが、実ランダム・データを使用するよりも安全性が低下します。このオプションは、大きいゾーンに署名する場合や、エントロピー・ソースが限られている場合に便利です。 |
| -r randomdev | ランダムのソースを指定します。オペレーティング・システムが /dev/random または同等のデバイスを提供しない場合、ランダム性のデフォルトのソースはキーボード入力です。 randomdev は、デフォルトの代わりに使用されるランダム・データを含むキャラクター・デバイスまたはファイルの名前を指定します。特殊値 keyboard は、キーボード入力を使用する必要があることを示します。 |
| -v level | デバッグのレベルを設定します。 |
パラメーター
| 項目 | 説明 |
|---|---|
| keyset | 子のキー・セットを含んでいるファイル。 |
| key | 子のキー・セットの署名に使用されるキー。 |
例
DNSSEC 指向の
.com ゾーンの DNS 管理者は、次のコマンドを使用して、example.com (dnssec-keygen コマンドによって生成されたキーを使用して dnssec-makekeyset コマンドによって生成されたもの) のキー・セット・ファイルに署名します。dnssec-signkey keyset-example.com. Kcom.+003+51944.com キーによる署名を含むファイル signedkey-example.com. を作成します。