upstream/oracle/userland-gate: comparison components/bind/Solaris/zh/dnssec-signzone.8

equal deleted inserted replaced

-:cebcbbd80341
+:a498cb624014
-'\" te
-.\" Copyright (C) 2010 Internet Systems Consortium, Inc. ("ISC")
-.\" Permission to use, copy, modify, and/or distribute this software for any purpose with or without fee is hereby granted, provided that the above copyright notice and this permission notice appear in all copies. THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
-.\" Portions Copyright (c) 2010, Sun Microsystems, Inc. All Rights Reserved.
-.TH dnssec-signzone 8 "2010 年 1 月 11 日" "SunOS 5.12" "系统管理命令"
-.SH 名称
-dnssec-signzone \- DNSSEC 区域签名工具
-.SH 用法概要
-.LP
-.nf
-\fBdnssec-signzone\fR [\fB-Aaghptz\fR] [\fB-c\fR \fIclass\fR] [\fB-d\fR \fIdirectory\fR]
-[\fB-e\fR \fIend-time\fR] [\fB-f\fR \fIoutput-file\fR] [\fB-H\fR \fIiterations\fR] [\fB-I\fR \fIinput_format\fR]
-[\fB-i\fR \fIinterval\fR] [\fB-k\fR \fIkey\fR] [\fB-l\fR \fIdomain\fR] [\fB-N\fR \fIsoa-serial-format\fR] [\fB-n\fR \fIncpus\fR]
-[\fB-O\fR \fIoutput_format\fR] [\fB-o\fR \fIorigin\fR] [\fB-r\fR \fIrandomdev\fR] [\fB-s\fR \fIstart-time\fR]
-[\fB-v\fR \fIlevel\fR] [\fB-3\fR \fIsalt\fR] \fIzonefile\fR [\fIkey\fR]...
-.fi
-.SH 描述
-.sp
-.LP
-\fBdnssec-signzone\fR 实用程序可以对区域签名。它生成 \fBNSEC\fR 和 \fBRRSIG\fR 记录并生成已签名版本的区域。已签名区域中委托的安全状态（即子区域是否安全）取决于每个子区域是否存在 \fBkeyset\fR 文件。
-.SH 选项
-.sp
-.LP
-支持以下选项：
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-A\fR\fR
-.ad
-.sp .6
-.RS 4n
-生成 NSEC3 链时，在所有 NSEC3 记录上设置 \fBOPTOUT\fR 标志且不会为不安全的委托生成 NSEC3 记录。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-a\fR\fR
-.ad
-.sp .6
-.RS 4n
-验证所有生成的签名。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-c\fR \fIclass\fR\fR
-.ad
-.sp .6
-.RS 4n
-指定区域的 \fBDNS\fR 类。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-d\fR \fIdirectory\fR\fR
-.ad
-.sp .6
-.RS 4n
-在 \fIdirectory\fR 中查找 \fBkeyset\fR 文件。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-e\fR \fIend-time\fR\fR
-.ad
-.sp .6
-.RS 4n
-指定生成的 \fBRRSIG\fR 记录过期的日期和时间。与 \fBstart-time\fR 一样，绝对时间采用 \fBYYYYMMDDHHMMSS\fR 表示法表示。相对于开始时间的时间用 +\fIN\fR 表示，即开始时间后的 \fIN\fR 秒。相对于当前时间的时间用 \fBnow\fR+\fIN\fR 表示。如果没有指定 \fIend-time\fR，则缺省值是开始时间后的第 30 天。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-f\fR \fIoutput-file\fR\fR
-.ad
-.sp .6
-.RS 4n
-包含已签名区域的输出文件的名称。缺省情况是将 \fB\&.signed\fR 附加到输入文件名称后。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-g\fR\fR
-.ad
-.sp .6
-.RS 4n
-为 \fBkeyset\fR 文件中的子区域生成 DS 记录。将删除现有 DS 记录。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-H\fR \fIiterations\fR\fR
-.ad
-.sp .6
-.RS 4n
-生成 NSEC3 链时，使用 \fIiterations\fR 指定的迭代次数。缺省 为 100。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-h\fR\fR
-.ad
-.sp .6
-.RS 4n
-列出 \fBdnssec-signzone()\fR 的选项和参数的简短摘要。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-I\fR \fIinput-format\fR\fR
-.ad
-.sp .6
-.RS 4n
-输入区域文件的格式。可能的格式是 \fBtext\fR（缺省）和 \fBraw\fR。此选项主要用于动态的已签名区域，以便可以直接对包含更新的非文本格式的转储区域文件签名。使用此选项对非动态区域毫无作用。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-i\fR \fIinterval\fR\fR
-.ad
-.sp .6
-.RS 4n
-将循环间隔指定为当前时间的偏移（以秒为单位）。之前已签名的区域作为输入进行传递时，可以重新对记录签名。如果 \fBRRSIG\fR 记录在循环间隔后过期，则保留该记录。否则，该记录被视为很快将过期并将被替换。
-.sp
-缺省循环间隔是签名结束时间和开始时间之差的四分之一。如果没有指定 \fIend-time\fR 和 \fIstart-time\fR，则 \fBdnssec-signzone\fR 将生成有效期为 30 天、循环间隔为 7.5 天的签名。由于任何现有 \fBRRSIG\fR 记录在 7.5 天之内过期，因此会将其替换。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-j\fR \fIjitter\fR\fR
-.ad
-.sp .6
-.RS 4n
-使用固定签名生命周期对区域签名时，签名时发出的所有 \fBRRSIG\fR 记录均同时到期。如果以增量方式对区域签名（即之前签名的区域作为输入传递给签名者），需要大约同时重新生成所有过期的签名。jitter 选项指定用于随机指定签名过期时间的 jitter 窗口，从而随时间以一定增量分散重新生成签名的时间。
-.sp
-在某种程度上，签名生命周期 jitter 也通过分散高速缓存失效时间使验证器和服务器受益。也就是说，如果所有高速缓存的大量 \fBRRSIG\fR 不同时到期，则相对于所有验证器需要几乎同时重取来说，前者出现拥塞的可能性更小。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-k\fR \fIkey\fR\fR
-.ad
-.sp .6
-.RS 4n
-将指定的 \fIkey\fR 视作密钥签名密钥，忽略任何密钥标志。可以多次指定此选项。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-l\fR \fIdomain\fR\fR
-.ad
-.sp .6
-.RS 4n
-除密钥 (DNSKEY) 和 DS 集以外，还生成 DLV 集。域附加到记录名称。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-N\fR \fIsoa-serial-format\fR\fR
-.ad
-.sp .6
-.RS 4n
-已签名区域的 SOA 序列号格式。可能的格式是 \fBkeep\fR（缺省）、\fBincrement\fR 和 \fBunixtime\fR，如下所述。
-.sp
-.ne 2
-.mk
-.na
-\fB\fBkeep\fR\fR
-.ad
-.sp .6
-.RS 4n
-不修改 SOA 序列号。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fBincrement\fR\fR
-.ad
-.sp .6
-.RS 4n
-使用 RFC 1982 运算递增 SOA 序列号。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fBunixtime\fR\fR
-.ad
-.sp .6
-.RS 4n
-将 SOA 序列号设置为自 Unix 时间戳起过去的秒数。
-.RE
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-n\fR \fInthreads\fR\fR
-.ad
-.sp .6
-.RS 4n
-指定要使用的线程数。缺省情况下，为每个检测出的 CPU 启动一个线程。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-O\fR \fIoutput_format\fR\fR
-.ad
-.sp .6
-.RS 4n
-包含已签名区域的输出文件的格式。可能的格式是 \fBtext\fR（缺省）和 \fBraw\fR。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-o\fR \fIorigin\fR\fR
-.ad
-.sp .6
-.RS 4n
-指定区域源。如果没有指定，则将区域文件的名称假定为源。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-p\fR\fR
-.ad
-.sp .6
-.RS 4n
-签名区域时使用伪随机数据。这比使用实际随机数据更快，但更不安全。签名大型区域或熵源有限时，此选项可能会有用。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-r\fR \fIrandomdev\fR\fR
-.ad
-.sp .6
-.RS 4n
-指定随机源。如果操作系统不提供 \fB/dev/random\fR 或等效设备，则缺省的随机源是键盘输入。\fIrandomdev\fR 指定字符设备的名称或包含要使用的随机数据的文件（而非缺省的 \fB/dev/random\fR）。特殊值 \fBkeyboard\fR 表示应该使用键盘输入。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-s\fR \fIstart-time\fR\fR
-.ad
-.sp .6
-.RS 4n
-指定生成的 \fBRRSIG\fR 记录开始有效的日期和时间。此时间可以是绝对时间，也可以是相对时间。绝对开始时间由采用 \fIYYYYMMDDHHMMSS\fR 表示法的数字表示；20000530144500 表示 2000 年 5 月 30 日 14:45:00 (UTC)。相对开始时间由 +\fIN\fR 表示，即当前时间后的 \fIN\fR 秒。如果没有指定 \fIstart-time\fR，则使用当前时间减去一小时（以允许时钟相位差）后的时间。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-t\fR\fR
-.ad
-.sp .6
-.RS 4n
-完成时列出统计信息。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-v\fR \fIlevel\fR\fR
-.ad
-.sp .6
-.RS 4n
-设置调试级别。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-z\fR\fR
-.ad
-.sp .6
-.RS 4n
-确定签名内容时，忽略密钥上的 KSK 标志。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fB-3\fR \fIsalt\fR\fR
-.ad
-.sp .6
-.RS 4n
-使用指定的十六进制编码 \fIsalt\fR 生成 NSEC3 链。破折号（\fB－\fR）可以用于表示生成 NSEC3 链时没有使用 salt。
-.RE
-.SH 操作数
-.sp
-.LP
-支持下列操作数：
-.sp
-.ne 2
-.mk
-.na
-\fB\fIzonefile\fR\fR
-.ad
-.sp .6
-.RS 4n
-包含要签名的区域的文件。
-.RE
-.sp
-.ne 2
-.mk
-.na
-\fB\fIkey\fR\fR
-.ad
-.sp .6
-.RS 4n
-指定应在对区域签名时使用的密钥。如果没有指定密钥，则检查该区域以获得区域顶点的 \fBDNSKEY\fR 记录。如果找到这些记录且当前目录中有匹配的私钥，则这些记录将用于进行域名。
-.RE
-.SH 示例
-.LP
-\fB示例 1 \fR使用 DSA 密钥对区域签名
-.sp
-.LP
-以下命令使用 \fBdnssec-keygen\fR(8) 手册页中的示例中生成的 DSA 密钥对 \fBexample.com\fR 区域签名（该示例为 \fBKexample.com.+003+17247\fR）。区域的密钥必须在主文件 (\fBdb.example.com\fR) 中。该调用在当前目录中查找密钥集文件，以便从这些文件生成 DS 记录 (\fB-g\fR)。
-.sp
-.in +2
-.nf
-% \fBdnssec-signzone -g -o example.com db.example.com \e\fR
-\fBKexample.com.+003+17247\fR
-\fBdb.example.com.signed\fR
-%
-.fi
-.in -2
-.sp
-.sp
-.LP
-在上述示例中，\fBdnssec-signzone\fR 创建文件 \fBdb.example.com.signed\fR。应该在 \fBnamed.conf\fR 文件的区域语句中引用此文件。
-.LP
-\fB示例 2 \fR重新签名之前已签名的区域
-.sp
-.LP
-以下命令使用缺省参数对以前已签名的区域重新签名。假定私钥位于当前目录中。
-.sp
-.in +2
-.nf
-% \fBcp db.example.com.signed db.example.com\fR
-% \fBdnssec-signzone -o example.com db.example.com \e\fR
-\fBdb.example.com.signed\fR
-%
-.fi
-.in -2
-.sp
-.SH 属性
-.sp
-.LP
-有关下列属性的说明，请参见 \fBattributes\fR(5)：
-.sp
-.sp
-.TS
-tab() box;
-cw(2.75i) |cw(2.75i)
-lw(2.75i) |lw(2.75i)
-.
-属性类型属性值
-_
-可用性service/network/dns/bind
-_
-接口稳定性Volatile（可变）
-.TE
-.SH 另请参见
-.sp
-.LP
-\fBdnssec-keygen\fR(8)、\fBattributes\fR(5)
-.sp
-.LP
-\fIRFC4033\fR
-.sp
-.LP
-请参见《\fIBIND 9 管理员参考手册\fR》。从本手册页发布之日起，将在 https://www.isc.org/software/bind/documentation 上提供该文档。

changeset 6227	a498cb624014
parent 6226	cebcbbd80341
child 6228	37f9819bc49d