��
AIX命令参考大全,卷 2,d - h - dnssec-keygen 命令
[ 页的底部 | 上一页 | 下一页 | 目录 | 索引 |
法律条款
]
AIX命令参考大全,卷 2,d - h
dnssec-keygen 命令
用途
DNSSEC 密钥生成工具。
语法
dnssec-keygen [ -a algorithm ] [ -b keysize ] [ -n nametype ] [-c class ] [ -e ] [-g generator ] [ -h ] [ -p protocol ] [ -r randomdev ] [ -s strength ] [ -t type ] [ -v level ] [ name ]
描述
dnssec-keygen 命令为 DNSSEC(安全 DNS)生成密钥,见 RFC 2535 定义。也可以生成与 TSIG(事务特征符)一起使用的密钥,见 RFC 2845 中定义。
标志
|
-a algorithm |
选择加密算法。algorithm 的值必须为 RSAMD5、RSA、DSA、DH(Diffie Hellman)或 HMAC-MD5 之一。这些值不区分大小写。注意对于 DNSSEC 而言,DSA 是一个强制性的实现算法,推荐使用 RSA。对 TSIG 而言,HMAC-MD5 是强制性的。 |
|
-b keysize |
指定密钥位数。密钥大小的选项取决于所用的算法。RSA 密钥大小必须在 512 到 2048 位之间。Diffie Hellman 密钥必须在 128 和 4096 位之间。DSA 密钥
必须在 512 到 1024 位之间,而且必须是 64 的整数倍。HMAC-MD5 密钥
必须在 1 到 512 位之间。 |
|
-n nametype |
指定密钥的所有者类型。nametype 的值必须是
ZONE(针对 DNSSEC 区域密钥)、HOST 或 ENTITY(针对主机关联密钥)、USER(针对用户关联密钥)。这些值不区分大小写。 |
|
-c class |
指定包含密钥的 DNS 记录应该有指定类。如果未指定,则使用类 IN。 |
|
-e |
如果生成 RSA 密钥,使用大指数。 |
|
-g generator |
如果生成 Diffie Hellman 密钥,则使用该发生器。允许值为 2 和 5。如果不指定生成器,可能的话使用来自于 RFC 2539 的已知质数;否则缺省值为 2。 |
|
-h |
打印 dnssec-keygen 的选项和参数的简短摘要。 |
|
-p protocol |
为生成的密钥设定协议值。协议为 0 到 255 间的某个数。类型 USER 的缺省值是 2(email),其他类型的缺省值是 3(DNSSEC)。该参数的其他可能值列在 RFC 2535 和它的后续作业中。 |
|
-r randomdev |
指定随机源。如果操作系统不提供 /dev/random 或等价设备,缺省随机源为键盘输入。randomdev 指定包含要使用随机数据的字符设备名或文件名而不是缺省值。特殊值键盘指示应该使用的键盘输入。 |
|
-s strength |
指定密钥的强度值。该强度为 0 到 15 间的某个数,目前在 DNSSEC 中尚无定义用途。 |
|
-t type |
指定密钥的使用。类型必须是 AUTHCONF、NOAUTHCONF、NOAUTH 或 NOCONF 之一。缺省值是 AUTHCONF。AUTH 指验证数据的能力,CONF 指加密数据的能力。 |
|
-v level |
设置调试级别。 |
生成密钥
当 dnssec-keygen 成功完成时,它显示如 Knnnn.+aaa+iiiii 的字符串到标准输出。这是生成的密钥的标识字符串。这些字符串可作为 dnssec-makekeyset 的参数。
- nnnn是密钥名。
- aaa 算法的数字表示。
- iiiii 是密钥标识符(或占地面积)。
dnssec-keygen 创建两个名称基于所显示字符串的文件。Knnnn.+aaa+iiiii.key 包含公用密钥,而 Knnnn.+aaa+iiiii.private 包含专用密钥。.key 文件包含一个 DNS 密钥记录,它可以插入到一个区域文件(直接或使用 $INCLUDE 语句)。.private 文件包含算法特定字段。出于安全性原因,该文件一般没有读许可权。.key 和 .private 文件由诸如 HMAC-MD5 等对称加密算法创建,即使公共密钥和专用密钥相同。
示例
要为域 example.com 生成 768-bit 的 DSA 密钥,请输入下列命令:
dnssec-keygen -a DSA -b 768 -n ZONE example.com
此命令显示如下格式的字符串:
Kexample.com.+003+26160
在这个例子中,dnssec-keygen 创建了文件 Kexample.com.+003+26160.key 和 Kexample.com.+003+26160.private。
相关信息
dnssec-makekeyset 命令、dnssec-signkey 命令、dnssec-signzone 命令。
BIND 9 管理员参考手册。
RFC 2535、RFC 2845 和 RFC 2539。
[ 页的顶部 | 上一页 | 下一页 | 目录 | 索引 |
法律条款
]