|
1 '\" te |
|
2 .\" Copyright (C) 2010 Internet Systems Consortium, Inc. ("ISC") |
|
3 .\" Permission to use, copy, modify, and/or distribute this software for any purpose with or without fee is hereby granted, provided that the above copyright notice and this permission notice appear in all copies. THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE. |
|
4 .\" Portions Copyright (c) 2010, Sun Microsystems, Inc. All Rights Reserved. |
|
5 .TH dnssec-keygen 8 "2010 年 1 月 11 日" "SunOS 5.12" "システム管理コマンド" |
|
6 .SH 名前 |
|
7 dnssec-keygen \- DNSSEC 鍵生成ツール |
|
8 .SH 形式 |
|
9 .LP |
|
10 .nf |
|
11 \fBdnssec-keygen\fR \fB-a\fR \fIalgorithm\fR \fB-b\fR \fIkeysize\fR \fB-n\fR \fInametype\fR [\fB-ehk\fR] |
|
12 [\fB-c\fR \fIclass\fR] [\fB-f\fR \fIflag\fR] [\fB-g\fR \fIgenerator\fR] [\fB-p\fR \fIprotocol\fR] |
|
13 [\fB-r\fR \fIrandomdev\fR] [\fB-s\fR \fIstrength\fR] [\fB-t\fR \fItype\fR] [\fB-v\fR \fIlevel\fR] \fIname\fR |
|
14 .fi |
|
15 |
|
16 .SH 機能説明 |
|
17 .sp |
|
18 .LP |
|
19 \fBdnssec-keygen\fR ユーティリティーは、RFC 2535 および RFC 4034 で定義されている DNSSEC (Secure DNS) の鍵を生成します。また、RFC 2845 で定義されている TSIG (Transaction Signatures) で使用する鍵も生成します。 |
|
20 .SH オプション |
|
21 .sp |
|
22 .LP |
|
23 サポートしているオプションは、次のとおりです。 |
|
24 .sp |
|
25 .ne 2 |
|
26 .mk |
|
27 .na |
|
28 \fB\fB-a\fR \fIalgorithm\fR\fR |
|
29 .ad |
|
30 .sp .6 |
|
31 .RS 4n |
|
32 暗号化アルゴリズムを選択します。algorithm の値は、RSAMD5 (RSA) または RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA、\fBDH\fR (Diffie-Hellman)、HMAC-MD5 のいずれかにする必要があります。これらの値は大文字と小文字が区別されません。 |
|
33 .sp |
|
34 DNSSEC の場合、RSASHA1 は実装が必須のアルゴリズムであるため、DSA が推奨されます。TSIG の場合は、HMAC-MD5 が必須です。 |
|
35 .LP |
|
36 注 - |
|
37 .sp |
|
38 .RS 2 |
|
39 HMAC-MD5 と DH では、\fB-k\fR フラグが自動的に設定されます。 |
|
40 .RE |
|
41 .RE |
|
42 |
|
43 .sp |
|
44 .ne 2 |
|
45 .mk |
|
46 .na |
|
47 \fB\fB-b\fR \fIkeysize\fR\fR |
|
48 .ad |
|
49 .sp .6 |
|
50 .RS 4n |
|
51 鍵のビット数を指定します。鍵サイズの選択は、使用されるアルゴリズムによって異なります。RSAMD5 鍵と RSASHA1 鍵は、512 - 2048 ビットの間にする必要があります。Diffie-Hellman 鍵は、128 - 4096 ビットの間にする必要があります。DSA 鍵は、512 - 1024 ビットの間で、ちょうど 64 の倍数になる値にする必要があります。HMAC-MD5 鍵は、1 - 512 ビットの間にする必要があります。 |
|
52 .RE |
|
53 |
|
54 .sp |
|
55 .ne 2 |
|
56 .mk |
|
57 .na |
|
58 \fB\fB-c\fR \fIclass\fR\fR |
|
59 .ad |
|
60 .sp .6 |
|
61 .RS 4n |
|
62 鍵を含む DNS レコードに、指定されたクラスが存在するべきであることを示します。指定されていない場合は、クラス IN が使用されます。 |
|
63 .RE |
|
64 |
|
65 .sp |
|
66 .ne 2 |
|
67 .mk |
|
68 .na |
|
69 \fB\fB-e\fR\fR |
|
70 .ad |
|
71 .sp .6 |
|
72 .RS 4n |
|
73 RSAMD5 鍵または RSASHA1 鍵を生成する場合は、大きな指数を使用します。 |
|
74 .RE |
|
75 |
|
76 .sp |
|
77 .ne 2 |
|
78 .mk |
|
79 .na |
|
80 \fB\fB-f\fR \fIflag\fR\fR |
|
81 .ad |
|
82 .sp .6 |
|
83 .RS 4n |
|
84 指定されたフラグを KEY/DNSKEY レコードのフラグフィールドに設定します。認識されるフラグは KSK (Key Signing Key) DNSKEY のみです。 |
|
85 .RE |
|
86 |
|
87 .sp |
|
88 .ne 2 |
|
89 .mk |
|
90 .na |
|
91 \fB\fB-g\fR \fIgenerator\fR\fR |
|
92 .ad |
|
93 .sp .6 |
|
94 .RS 4n |
|
95 Diffie Hellman 鍵を生成する場合は、この \fIgenerator\fR を使用します。指定可能な値は 2 と 5 です。ジェネレータが指定されていない場合は、可能であれば RFC 2539 からの既知の素数が使用されます。それ以外の場合、デフォルトは 2 です。 |
|
96 .RE |
|
97 |
|
98 .sp |
|
99 .ne 2 |
|
100 .mk |
|
101 .na |
|
102 \fB\fB-h\fR\fR |
|
103 .ad |
|
104 .sp .6 |
|
105 .RS 4n |
|
106 \fBdnssec-keygen\fR のオプションと引数の簡単なサマリーを出力します。 |
|
107 .RE |
|
108 |
|
109 .sp |
|
110 .ne 2 |
|
111 .mk |
|
112 .na |
|
113 \fB\fB-k\fR\fR |
|
114 .ad |
|
115 .sp .6 |
|
116 .RS 4n |
|
117 DNSKEY レコードではなく KEY レコードを生成します。 |
|
118 .RE |
|
119 |
|
120 .sp |
|
121 .ne 2 |
|
122 .mk |
|
123 .na |
|
124 \fB\fB-n\fR \fInametype\fR\fR |
|
125 .ad |
|
126 .sp .6 |
|
127 .RS 4n |
|
128 鍵の所有者型を指定します。\fInametype\fR の値は、\fBZONE\fR (DNSSEC ゾーン鍵 (KEY/DNSKEY) の場合)、\fBHOST\fR または \fBENTITY\fR (ホストに関連付けられた鍵 (KEY) の場合)、USER (ユーザーに関連付けられた鍵 (KEY) の場合)、\fBOTHER\fR (DNSKEY) のいずれかにする必要があります。これらの値は大文字と小文字が区別されません。デフォルトは、DNSKEY 生成用の ZONE です。 |
|
129 .RE |
|
130 |
|
131 .sp |
|
132 .ne 2 |
|
133 .mk |
|
134 .na |
|
135 \fB\fB-p\fR \fIprotocol\fR\fR |
|
136 .ad |
|
137 .sp .6 |
|
138 .RS 4n |
|
139 生成された鍵のプロトコル値を設定します。\fIprotocol\fR 引数は 0 - 255 の数値です。デフォルトは 3 (DNSSEC) です。この引数に指定可能なのほか値は、RFC 2535 およびそれ以降のバージョンに記載されています。 |
|
140 .RE |
|
141 |
|
142 .sp |
|
143 .ne 2 |
|
144 .mk |
|
145 .na |
|
146 \fB\fB-r\fR \fIrandomdev\fR\fR |
|
147 .ad |
|
148 .sp .6 |
|
149 .RS 4n |
|
150 乱数発生元を指定します。オペレーティングシステムによって \fB/dev/random\fR または同等のデバイスが提供されていない場合、デフォルトの乱数発生元はキーボード入力です。\fIrandomdev\fR は、このデフォルトの代わりに使用される、ランダムデータを含む文字デバイスまたはファイルの名前を指定します。特殊な値「\fBkeyboard\fR」は、キーボード入力を使用する必要があることを示します。 |
|
151 .RE |
|
152 |
|
153 .sp |
|
154 .ne 2 |
|
155 .mk |
|
156 .na |
|
157 \fB\fB-s\fR \fIstrength\fR\fR |
|
158 .ad |
|
159 .sp .6 |
|
160 .RS 4n |
|
161 鍵の強さの値を指定します。\fIstrength\fR 引数は 0 - 15 の数値で、現時点では DNSSEC でその用途は定義されていません。 |
|
162 .RE |
|
163 |
|
164 .sp |
|
165 .ne 2 |
|
166 .mk |
|
167 .na |
|
168 \fB\fB-t\fR \fItype\fR\fR |
|
169 .ad |
|
170 .sp .6 |
|
171 .RS 4n |
|
172 鍵の使用を示します。\fBtype\fR は、\fBAUTHCONF\fR、\fBNOAUTHCONF\fR、\fBNOAUTH\fR、\fBNOCONF\fR のいずれかにする必要があります。デフォルトは \fBAUTHCONF\fR です。\fBAUTH\fR はデータを認証する機能を、\fBCONF\fR はデータを暗号化する機能を示します。 |
|
173 .RE |
|
174 |
|
175 .sp |
|
176 .ne 2 |
|
177 .mk |
|
178 .na |
|
179 \fB\fB-v\fR \fIlevel\fR\fR |
|
180 .ad |
|
181 .sp .6 |
|
182 .RS 4n |
|
183 デバッグのレベルを設定します。 |
|
184 .RE |
|
185 |
|
186 .SH 生成される鍵 |
|
187 .sp |
|
188 .LP |
|
189 \fBdnssec-keygen\fR が正常に完了すると、\fBK\fInnnn\fR.+\fIaaa\fR+\fIiiiii\fR\fR の形式の文字列が標準出力に表示されます。これは、生成された鍵の識別文字列です。 |
|
190 .RS +4 |
|
191 .TP |
|
192 .ie t \(bu |
|
193 .el o |
|
194 \fInnnn\fR は鍵名です。 |
|
195 .RE |
|
196 .RS +4 |
|
197 .TP |
|
198 .ie t \(bu |
|
199 .el o |
|
200 \fIaaa\fR はアルゴリズムの数値表現です。 |
|
201 .RE |
|
202 .RS +4 |
|
203 .TP |
|
204 .ie t \(bu |
|
205 .el o |
|
206 \fIiiiii\fR は鍵識別子 (またはフットプリント) です。 |
|
207 .RE |
|
208 .sp |
|
209 .LP |
|
210 \fBdnssec-keygen\fR ユーティリティーは、出力された文字列に基づいた名前を持つ 2 つのファイルを作成します。 |
|
211 .RS +4 |
|
212 .TP |
|
213 .ie t \(bu |
|
214 .el o |
|
215 \fBK\fR\fInnnn\fR.+\fIaaa\fR+\fIiiiii\fR.\fBkey\fR には公開鍵が含まれます。 |
|
216 .RE |
|
217 .RS +4 |
|
218 .TP |
|
219 .ie t \(bu |
|
220 .el o |
|
221 \fBK\fR\fInnnn\fR.+\fIaaa\fR+\fIiiiii\fR.\fBprivate\fR には秘密鍵が含まれます。 |
|
222 .RE |
|
223 .sp |
|
224 .LP |
|
225 \fB\&.key\fR ファイルには、ゾーンファイルに (直接、または \fB$INCLUDE\fR 文を使用して) 挿入できる DNS \fBKEY\fR レコードが含まれます。 |
|
226 .sp |
|
227 .LP |
|
228 \fB\&.private\fR ファイルには、アルゴリズムに固有のフィールドが含まれます。セキュリティー上の理由から、このファイルには一般的な読み取り権はありません。 |
|
229 .sp |
|
230 .LP |
|
231 公開鍵と秘密鍵が同じである場合でも、HMAC-MD5 などの対称暗号化アルゴリズム用に \fB\&.key\fR ファイルと \fB\&.private\fR ファイルの両方が生成されます。 |
|
232 .SH 使用例 |
|
233 .LP |
|
234 \fB例 1 \fR768 ビットの DSA 鍵の生成 |
|
235 .sp |
|
236 .LP |
|
237 ドメイン \fBexample.com\fR 用に 768 ビットの DSA 鍵を生成するには、次のコマンドを発行します。 |
|
238 |
|
239 .sp |
|
240 .in +2 |
|
241 .nf |
|
242 dnssec-keygen -a DSA -b 768 -n ZONE example.com |
|
243 .fi |
|
244 .in -2 |
|
245 .sp |
|
246 |
|
247 .sp |
|
248 .LP |
|
249 このコマンドは、次の形式の文字列を出力します。 |
|
250 |
|
251 .sp |
|
252 .in +2 |
|
253 .nf |
|
254 Kexample.com.+003+26160 |
|
255 .fi |
|
256 .in -2 |
|
257 .sp |
|
258 |
|
259 .sp |
|
260 .LP |
|
261 次のファイルが作成されます。 |
|
262 |
|
263 .sp |
|
264 .in +2 |
|
265 .nf |
|
266 Kexample.com.+003+26160.key |
|
267 Kexample.com.+003+26160.private |
|
268 .fi |
|
269 .in -2 |
|
270 .sp |
|
271 |
|
272 .SH 属性 |
|
273 .sp |
|
274 .LP |
|
275 属性についての詳細は、マニュアルページの \fBattributes\fR(5) を参照してください。 |
|
276 .sp |
|
277 |
|
278 .sp |
|
279 .TS |
|
280 tab(�) box; |
|
281 cw(2.75i) |cw(2.75i) |
|
282 lw(2.75i) |lw(2.75i) |
|
283 . |
|
284 属性タイプ�属性値 |
|
285 _ |
|
286 使用条件�service/network/dns/bind |
|
287 _ |
|
288 インタフェースの安定性�流動的 |
|
289 .TE |
|
290 |
|
291 .SH 関連項目 |
|
292 .sp |
|
293 .LP |
|
294 \fBdnssec-signzone\fR(8), \fBattributes\fR(5) |
|
295 .sp |
|
296 .LP |
|
297 \fIRFC 2539\fR、\fIRFC 2845\fR、\fIRFC 4033\fR |
|
298 .sp |
|
299 .LP |
|
300 『BIND 9 \fIAdministrator's Reference Manual\fR』を参照してください。このマニュアルページの発行日付時点で、このドキュメントは https://www.isc.org/software/bind/documentation から利用できます。 |