dnssec-signzone コマンド
目的
ドメイン・ネーム・システム・セキュリティー拡張 (DNSSEC) ゾーン署名ツール。
構文
dnssec-signzone [-a] [-c class] [ -d directory ] [-e end-time] [ -f output-file] [-g] [-h] [ -k key] [-l domain] [ -i interval ] [-I input-format] [-j jitter] [-N soa-serial-format] [ -o origin ] [-O output-format] [ -p ] [-r randomdev] [-s start-time] [ -t ] [-v level] [-z] zonefile [key...]
説明
dnssec-signzone コマンドは、ゾーンに署名します。このコマンドは、NSEC および RRSIG レコードを生成し、そのゾーンの署名付きバージョンを作成します。署名されたゾーンからの委任のセキュリティー状況 (つまり、子ゾーンがセキュアであるかどうか) は、それぞれの子ゾーンのキー・セット・ファイルが存在するかしないかで決まります。
フラグ
| 項目 | 説明 |
|---|---|
| -a | すべての生成された署名を検査します。 |
| -c class | ゾーンの DNS クラスを指定します。 |
| -d directory | directory 引数に指定されたディレクトリーで、キー・セット・ファイルを検索します。 |
| -k key | キー・フラグを無視する鍵署名の鍵として指定のキーを処理します。このオプションは、複数回指定できます。 |
| -l domain | キー (DNSKEY) と DS セットに加えて DLV セットを生成します。このドメインがレコードの名前に追加されます。 |
| -g | キー・セット・ファイルから子ゾーンの DS レコードを生成します。このフラグにより、既存の DS レコードが除去されます。 |
| -s start-time | 生成された RRSIG レコードが有効になる日付および時刻を指定します。これは、絶対時刻または相対時刻のいずれかを指定できます。絶対開始時刻は、
YYYYMMDDHHMMSS 表記の数字で示されます。
20000530144500 は、2000 年 05 月 30 日 14:45:00 UTC (協定世界時) を表します。相対開始時刻は
+N (現在時刻から N 秒) で示されます。start-time 引数が指定されない場合、このコマンドは、現在時刻から 1 時間引いた時刻を使用します (クロック・スキューを許容するため)。
|
| -e end-time | 生成された RRSIG レコードが期限切れとなる日付および時刻を指定します。start-time 引数と同様、絶対時刻は YYYYMMDDHHMMSS 表記で示されます。開始時刻 (start time) に対する相対時刻は、
+N (開始時刻から N 秒) で示されます。現在時刻に対する相対時刻は、now+N で示されます。
end-time 引数を指定しない場合、コマンドは開始時刻から 30 日をデフォルトとして使用します。 |
| -f output-file | 署名されたゾーンを含む出力ファイルの名前を指定します。デフォルトでは、.signed が入力ファイルの名前に追加されます。
|
| -h | dnssec-signzone コマンドのオプションと引数の簡略な要約を印刷します。 |
| -i interval | 入力として以前に署名されたゾーンが渡された場合、 レコードは破棄される場合があります。インターバル・オプションは、 現在時刻からのオフセットとしてサイクル間隔を指定します (秒単位)。RRSIG レコードがサイクル間隔後に期限切れになった場合、これは保持されます。そうでない場合は、すぐに期限切れになるものと見なされ、置き換えられます。デフォルトのサイクル間隔は、 署名の終了と開始時刻間の差の 4 分の 1 です。end-time 引数も start-time 引数も指定されていない場合は、dnssec-signzone コマンドは、30 日間有効であり、サイクル間隔が 7.5 日の署名を生成します。したがって、既存の RRSIG レコードが 7.5 日未満で期限切れとなるものである場合、それらは置き換えられます。 |
| -I input-format | 入力ゾーン・ファイルのフォーマットを指定します。指定可能なフォーマットは、text (テキスト (デフォルト)) と raw (ロー) です。 |
| -j jitter | 修正された署名ライフタイムのあるゾーンに署名する場合は、署名時に発行されたすべての RRSIG レコードが同時に期限切れになります。例えば、ゾーンが増分して署名される場合は、前に署名されたゾーンが入力として署名者に渡され、期限切れのすべての署名がほぼ同時に再生成されなければなりません。jitter 引数は、署名の有効期限をランダム化して、増分署名の再生成を時間とともに拡張するために使用するジッター・ウィンドウを指定します。署名ライフタイムのジッターは、キャッシュの有効期限を延長することでバリデーターとサーバーに対しても有効となります。 例えば、多くの RRSIG がすべてのキャッシュから同時に期限切れにならない場合、すべてのバリデーターがほぼ同時に再フェッチする必要がある場合よりも輻輳が少なくなります。 |
| -n ncpus | 使用するスレッドの数を指定します。デフォルトでは、このコマンドは、検出されたプロセッサーごとに 1 つのスレッドを開始します。 |
| -N soa-serial-format | 署名付きゾーンの SOA シリアル番号のフォーマットを指定します。soa-serial-format 引数は、次のいずれかの値になります。
|
| -o origin | ゾーンの起点を指定します。指定されない場合、ゾーン・ファイルの名前が 起点であると想定されます。 |
| -O output-format | 署名されたゾーンを含む出力ファイルのフォーマットを指定します。指定可能なフォーマットは、text (テキスト (デフォルト)) と raw (ロー) です。 |
| -p | ゾーンに署名する際に、疑似ランダム・データを使用します。これは、 より速くなりますが、実ランダム・データを使用するよりも安全性が低下します。このオプションは、大きいゾーンに署名する場合や、エントロピー・ソースが限られている場合に便利です。 |
| -r randomdev | ランダムのソースを指定します。オペレーティング・システムが /dev/random ファイルまたはそれと同等のデバイスを提供しない場合、デフォルトのランダムのソースはキーボード入力になります。randomdev 引数は、デフォルトの代わりに使用されるランダム・データを含むキャラクター・デバイスまたはファイルの名前を指定します。特殊値 keyboard は、キーボード入力を使用する必要があることを示します。 |
| -t | 完了時に統計情報を印刷します。 |
| -v level | デバッグのレベルを設定します。 |
| -z | 署名するものを判別する際にキーの KSK フラグを無視します。 |
パラメーター
| 項目 | 説明 |
|---|---|
| zonefile | 署名されるゾーンを含むファイル。 |
| key | キー・セットの署名に使用されるキー。 キーが指定されていない場合は、現行ディレクトリーに秘密鍵ファイルがあるすべてのゾーンのキーがデフォルトです。 |
例
次のコマンドは、
dnssec-keygen コマンドで生成された DSA キーで、example.com ゾーンの署名を行います。ゾーンのキーは、ゾーン内にある必要があります。このゾーンまたはいずれかの子ゾーンに関連付けられているキー・セット・ファイルがある場合、それらのファイルは現行ディレクトリー example.com 内に存在する必要があります。次のコマンドを実行することができます。
dnssec-signzone -o example.com db.example.com Kexample.com.+003+26160この例では、dnssec-signzone コマンドは db.example.com.signed ファイルを作成します。このファイルは、named.conf ファイル内のゾーン・ステートメントで参照されます。