��
AIX命令参考大全,卷 2,d - h - dnssec-signzone 命令
[ 页的底部 | 上一页 | 下一页 | 目录 | 索引 |
法律条款
]
AIX命令参考大全,卷 2,d - h
dnssec-signzone 命令
用途
DNSSEC 区域签名工具。
语法
dnssec-signzone [-a] [-c class] [ -d directory ] [-s start-time] [-e end-time] [-h] [ -i interval ] [ -n nthreads ] [ -o origin ] [ -p ] [-r randomdev] [ -t ] [-v level] zonefile key...
...
描述
dnssec-signzone 命令签署一个区域。它生成
NXT 和 SIG 记录,并产生区域的已签署的版本。如果父区域有文件 signedkey,父域的签名将合并到生成的已签署区域文件。已签署区域的授权的安全状态(即,无论子域是否安全)由每个子域是否含有 signedkey 文件决定。
标志
|
-a |
验证所有生成的签名。 |
|
-c class |
指定区域的 DNS 类。 |
|
-d directory |
作为目录在目录中查找 signedkey 文件。 |
|
-s start-time |
在生成的 SIG 记录变有效时,指定日期和时间。可以是绝对或相对时间。绝对启动时间格式为 YYYYMMDDHHMMSS 数字符号;20000530144500 表示 2000 年 5 月 30 日 14:45:00 UTC。相对启动时间用 +N 标记,表示距当前时间 N 秒。如果 start-time 未指定,使用当前时间。 |
|
-e end-time |
生成 SIG 记录到期时,指定日期和时间。若带有启动时间,绝对时间的格式为 YYYYMMDDHHMMSS 符号。相对启动时间用 +N 标记,表示距启动时间 N 秒。相对当前时间的时间记录用 now+N 标记。如果未指定 end-time,缺省值为从启动时间算起 30 天。 |
|
-f output-file |
包含签名区域的输出文件名。缺省为送到输入文件的 append .signed。 |
|
-h |
显示 dnssec-signzone 的选项和参数的简短摘要。 |
|
-i interval |
当前一个签名区域作为输入传入时,记录被重新签名。时间间隔选项以距离目前时间的偏移量(秒数)指定间隔周期。如果在间隔周期后记录 SIG 过期了,则保留它。否则,认为它马上会过期,并替换它。缺省间隔周期为签名启动时间和结束时间的间隔的四分之一。因此如果未指定 end-time 和 start-time,dnssec-signzone 生成合法期 30 天、间隔周期 7.5 天的签名。因此,任何存在的记录 SIG 如果将在 7.5 天内过期,则会被替换。 |
|
-n ncpus |
指定使用的线程数。缺省情况下每个检测到的 CPU 启动一个线程。 |
|
-o origin |
区域原点。若不指定,假定区域文件的名称为原点。 |
|
-p |
签署区域时使用伪随机数据。这比使用真正的随机数据快,但安全性差。这个选项在标记大区域或者熵源有限时非常有用。 |
|
-r randomdev |
指定随机源。如果操作系统不提供 /dev/random 或类似设备,缺省随机源为键盘输入。randomdev 指定包含随机数的字符设备名或文件名而不是缺省值。特定的键盘值指定使用键盘输入。 |
|
-t |
完成时显示统计信息。 |
|
-v level |
设置调试级别。 |
参数
|
zonefile |
包含需被签名的区域的文件。设置调试级别。 |
|
key |
用于签署子密钥集的密钥。 |
示例
以下命令以在 dnssec-keygen 联机帮助页中生成的 DSA 密钥签署 example.com 区域。
区域密钥必须在区域中。如果有与本区域或任何子域关联的 signedkey 文件,它们必须在当前目录 example.com,发出以下命令:
dnssec-signzone -o example.com db.example.com Kexample.com.+003+26160
这个例子中,dnssec-signzone 创建文件 db.example.com.signed。该文件必须在文件 named.conf 中的区域语句中引用。
相关信息
dnssec-keygen 命令、dnssec-makekeyset 命令、dnssec-signkey 命令。
BIND 9 管理员参考手册。
RFC 2535。
[ 页的顶部 | 上一页 | 下一页 | 目录 | 索引 |
法律条款
]