1 '\" te |
|
2 .\" Copyright (C) 2010 Internet Systems Consortium, Inc. ("ISC") |
|
3 .\" Permission to use, copy, modify, and/or distribute this software for any purpose with or without fee is hereby granted, provided that the above copyright notice and this permission notice appear in all copies. THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE. |
|
4 .\" Portions Copyright (c) 2010, Sun Microsystems, Inc. All Rights Reserved. |
|
5 .TH dnssec-keygen 1M "2010 年 1 月 11 日" "SunOS 5.12" "系统管理命令" |
|
6 .SH 名称 |
|
7 dnssec-keygen \- DNSSEC 密钥生成工具 |
|
8 .SH 用法概要 |
|
9 .LP |
|
10 .nf |
|
11 \fBdnssec-keygen\fR \fB-a\fR \fIalgorithm\fR \fB-b\fR \fIkeysize\fR \fB-n\fR \fInametype\fR [\fB-ehk\fR] |
|
12 [\fB-c\fR \fIclass\fR] [\fB-f\fR \fIflag\fR] [\fB-g\fR \fIgenerator\fR] [\fB-p\fR \fIprotocol\fR] |
|
13 [\fB-r\fR \fIrandomdev\fR] [\fB-s\fR \fIstrength\fR] [\fB-t\fR \fItype\fR] [\fB-v\fR \fIlevel\fR] \fIname\fR |
|
14 .fi |
|
15 |
|
16 .SH 描述 |
|
17 .sp |
|
18 .LP |
|
19 \fBdnssec-keygen\fR 实用程序为 DNSSEC(安全 DNS)生成密钥,如 RFC 2535 和 RFC 4034 中定义的那样。它还可以生成与 TSIG(Transaction Signature,事务签名)一起使用的密钥,如 RFC 2845 中定义的那样。 |
|
20 .SH 选项 |
|
21 .sp |
|
22 .LP |
|
23 支持以下选项: |
|
24 .sp |
|
25 .ne 2 |
|
26 .mk |
|
27 .na |
|
28 \fB\fB-a\fR \fIalgorithm\fR\fR |
|
29 .ad |
|
30 .sp .6 |
|
31 .RS 4n |
|
32 选择加密算法。algorithm 的值必须是 RSAMD5 (RSA) 或 RSASHA1 之一、DSA、NSEC3RSASHA1、NSEC3DSA、\fBDH\fR (Diffie-Hellman) 或 HMAC-MD5。这些值不区分大小写。 |
|
33 .sp |
|
34 对于 DNSSEC,RSASHA1 是强制实现的算法;DSA 是建议的算法。对于 TSIG,HMAC-MD5 是强制算法。 |
|
35 .LP |
|
36 注 - |
|
37 .sp |
|
38 .RS 2 |
|
39 HMAC-MD5 和 DH 自动设置 \fB-k\fR 标志。 |
|
40 .RE |
|
41 .RE |
|
42 |
|
43 .sp |
|
44 .ne 2 |
|
45 .mk |
|
46 .na |
|
47 \fB\fB-b\fR \fIkeysize\fR\fR |
|
48 .ad |
|
49 .sp .6 |
|
50 .RS 4n |
|
51 指定密钥中的位数。密钥大小的选择取决于使用的算法。RSAMD5 和 RSASHA1 密钥必须在 512 和 2048 位之间。Diffie-Hellman 密钥必须在 128 和 4096 位之间。DSA 密钥必须在 512 和 1024 位之间,并且必须是 64 的整数倍。HMAC-MD5 密钥必须在 1 位和 512 位之间。 |
|
52 .RE |
|
53 |
|
54 .sp |
|
55 .ne 2 |
|
56 .mk |
|
57 .na |
|
58 \fB\fB-c\fR \fIclass\fR\fR |
|
59 .ad |
|
60 .sp .6 |
|
61 .RS 4n |
|
62 表明包含密钥的 DNS 记录应该具有指定类。如果没有指定,将使用类 IN。 |
|
63 .RE |
|
64 |
|
65 .sp |
|
66 .ne 2 |
|
67 .mk |
|
68 .na |
|
69 \fB\fB-e\fR\fR |
|
70 .ad |
|
71 .sp .6 |
|
72 .RS 4n |
|
73 如果生成 RSAMD5 或 RSASHA1 密钥,则使用大指数。 |
|
74 .RE |
|
75 |
|
76 .sp |
|
77 .ne 2 |
|
78 .mk |
|
79 .na |
|
80 \fB\fB-f\fR \fIflag\fR\fR |
|
81 .ad |
|
82 .sp .6 |
|
83 .RS 4n |
|
84 在 KEY/DNSKEY 记录的标志字段中设置指定的标志。唯一识别的标志是 KSK(Key Signing Key,密钥签名密钥)DNSKEY。 |
|
85 .RE |
|
86 |
|
87 .sp |
|
88 .ne 2 |
|
89 .mk |
|
90 .na |
|
91 \fB\fB-g\fR \fIgenerator\fR\fR |
|
92 .ad |
|
93 .sp .6 |
|
94 .RS 4n |
|
95 如果生成 Diffie Hellman 密钥,则使用此 \fIgenerator\fR。允许的值是 2 和 5。如果没有指定 generator,则将使用 RFC 2539 中的已知索数(如果可能);否则,缺省值是 2。 |
|
96 .RE |
|
97 |
|
98 .sp |
|
99 .ne 2 |
|
100 .mk |
|
101 .na |
|
102 \fB\fB-h\fR\fR |
|
103 .ad |
|
104 .sp .6 |
|
105 .RS 4n |
|
106 列出 \fBdnssec-keygen\fR 的选项和参数的简短摘要。 |
|
107 .RE |
|
108 |
|
109 .sp |
|
110 .ne 2 |
|
111 .mk |
|
112 .na |
|
113 \fB\fB-k\fR\fR |
|
114 .ad |
|
115 .sp .6 |
|
116 .RS 4n |
|
117 生成 KEY 记录,而不是 DNSKEY 记录。 |
|
118 .RE |
|
119 |
|
120 .sp |
|
121 .ne 2 |
|
122 .mk |
|
123 .na |
|
124 \fB\fB-n\fR \fInametype\fR\fR |
|
125 .ad |
|
126 .sp .6 |
|
127 .RS 4n |
|
128 指定密钥的所有者类型。\fInametype\fR 的值必须是 \fBZONE\fR(对于 DNSSEC 区域密钥 (KEY/DNSKEY))、\fBHOST\fR 或 \fBENTITY\fR(对于与主机相关的密钥 (KEY))、USER(对于与用户相关的密钥 (KEY))或 \fBOTHER\fR (DNSKEY)。这些值不区分大小写。缺省值是 ZONE(用于生成 DNSKEY)。 |
|
129 .RE |
|
130 |
|
131 .sp |
|
132 .ne 2 |
|
133 .mk |
|
134 .na |
|
135 \fB\fB-p\fR \fIprotocol\fR\fR |
|
136 .ad |
|
137 .sp .6 |
|
138 .RS 4n |
|
139 为生成的密钥设置协议值。\fIprotocol\fR 参数是 0 到 255 之间的数字。缺省值是 3 (DNSSEC)。在 RFC 2535 及其后续版本中列出了此参数的其他可能值。 |
|
140 .RE |
|
141 |
|
142 .sp |
|
143 .ne 2 |
|
144 .mk |
|
145 .na |
|
146 \fB\fB-r\fR \fIrandomdev\fR\fR |
|
147 .ad |
|
148 .sp .6 |
|
149 .RS 4n |
|
150 指定随机源。如果操作系统不提供 \fB/dev/random\fR 或等效设备,则缺省的随机源是键盘输入。\fIrandomdev\fR 指定字符设备的名称或包含要使用的随机数据的文件(而非缺省文件)。特殊值 "\fBkeyboard\fR" 表示应该使用键盘输入。 |
|
151 .RE |
|
152 |
|
153 .sp |
|
154 .ne 2 |
|
155 .mk |
|
156 .na |
|
157 \fB\fB-s\fR \fIstrength\fR\fR |
|
158 .ad |
|
159 .sp .6 |
|
160 .RS 4n |
|
161 指定密钥的强度值。\fIstrength\fR 参数是 0 到 15 之间的数字,且当前尚未在 DNSSEC 中定义其用途。 |
|
162 .RE |
|
163 |
|
164 .sp |
|
165 .ne 2 |
|
166 .mk |
|
167 .na |
|
168 \fB\fB-t\fR \fItype\fR\fR |
|
169 .ad |
|
170 .sp .6 |
|
171 .RS 4n |
|
172 表明密钥的用途。\fBtype\fR 必须是 \fBAUTHCONF\fR、\fBNOAUTHCONF\fR、\fBNOAUTH\fR 或 \fBNOCONF\fR 之一。缺省值是 \fBAUTHCONF\fR。\fBAUTH\fR 指的是验证数据的能力,\fBCONF\fR 指的是加密数据的能力。 |
|
173 .RE |
|
174 |
|
175 .sp |
|
176 .ne 2 |
|
177 .mk |
|
178 .na |
|
179 \fB\fB-v\fR \fIlevel\fR\fR |
|
180 .ad |
|
181 .sp .6 |
|
182 .RS 4n |
|
183 设置调试级别。 |
|
184 .RE |
|
185 |
|
186 .SH 生成的密钥 |
|
187 .sp |
|
188 .LP |
|
189 当 \fBdnssec-keygen\fR 成功完成时,会向标准输出中输出 \fBK\fInnnn\fR.+\fIaaa\fR+\fIiiiii\fR\fR 格式的字符串。这是其生成的密钥的标识字符串。 |
|
190 .RS +4 |
|
191 .TP |
|
192 .ie t \(bu |
|
193 .el o |
|
194 \fInnnn\fR 是密钥名称。 |
|
195 .RE |
|
196 .RS +4 |
|
197 .TP |
|
198 .ie t \(bu |
|
199 .el o |
|
200 \fIaaa\fR 是算法的数字表示。 |
|
201 .RE |
|
202 .RS +4 |
|
203 .TP |
|
204 .ie t \(bu |
|
205 .el o |
|
206 \fIiiiii\fR 是密钥标识符(或足迹)。 |
|
207 .RE |
|
208 .sp |
|
209 .LP |
|
210 \fBdnssec-keygen\fR 实用程序创建两个文件,并根据列出的字符串命名这两个文件。 |
|
211 .RS +4 |
|
212 .TP |
|
213 .ie t \(bu |
|
214 .el o |
|
215 \fBK\fR\fInnnn\fR.+\fIaaa\fR+\fIiiiii\fR.\fBkey\fR 包含公钥。 |
|
216 .RE |
|
217 .RS +4 |
|
218 .TP |
|
219 .ie t \(bu |
|
220 .el o |
|
221 \fBK\fR\fInnnn\fR.+\fIaaa\fR+\fIiiiii\fR.\fBprivate\fR 包含私钥。 |
|
222 .RE |
|
223 .sp |
|
224 .LP |
|
225 \fB\&.key\fR 文件包含 DNS \fBKEY\fR 记录,该记录可以直接插入到区域文件,也可以使用 \fB$INCLUDE\fR 语句插入。 |
|
226 .sp |
|
227 .LP |
|
228 \fB\&.private\fR 文件包含算法特定的字段。出于安全原因,此文件不具有一般读取权限。 |
|
229 .sp |
|
230 .LP |
|
231 对于对称加密算法(如 HMAC-MD5),将生成 \fB\&.key\fR 和 \fB\&.private\fR 文件,即使公钥和私钥等效也如此。 |
|
232 .SH 示例 |
|
233 .LP |
|
234 \fB示例 1 \fR生成 768 位 DSA 密钥 |
|
235 .sp |
|
236 .LP |
|
237 要为域 \fBexample.com\fR 生成 768 位 DSA 密钥,则将发出以下命令: |
|
238 |
|
239 .sp |
|
240 .in +2 |
|
241 .nf |
|
242 dnssec-keygen -a DSA -b 768 -n ZONE example.com |
|
243 .fi |
|
244 .in -2 |
|
245 .sp |
|
246 |
|
247 .sp |
|
248 .LP |
|
249 该命令将列出以下格式的字符串: |
|
250 |
|
251 .sp |
|
252 .in +2 |
|
253 .nf |
|
254 Kexample.com.+003+26160 |
|
255 .fi |
|
256 .in -2 |
|
257 .sp |
|
258 |
|
259 .sp |
|
260 .LP |
|
261 将创建以下文件: |
|
262 |
|
263 .sp |
|
264 .in +2 |
|
265 .nf |
|
266 Kexample.com.+003+26160.key |
|
267 Kexample.com.+003+26160.private |
|
268 .fi |
|
269 .in -2 |
|
270 .sp |
|
271 |
|
272 .SH 属性 |
|
273 .sp |
|
274 .LP |
|
275 有关下列属性的说明,请参见 \fBattributes\fR(5): |
|
276 .sp |
|
277 |
|
278 .sp |
|
279 .TS |
|
280 tab(�) box; |
|
281 cw(2.75i) |cw(2.75i) |
|
282 lw(2.75i) |lw(2.75i) |
|
283 . |
|
284 属性类型�属性值 |
|
285 _ |
|
286 可用性�service/network/dns/bind |
|
287 _ |
|
288 接口稳定性�Volatile(可变) |
|
289 .TE |
|
290 |
|
291 .SH 另请参见 |
|
292 .sp |
|
293 .LP |
|
294 \fBdnssec-signzone\fR(1M)、\fBattributes\fR(5) |
|
295 .sp |
|
296 .LP |
|
297 \fIRFC 2539\fR、\fIRFC 2845\fR、\fIRFC 4033\fR |
|
298 .sp |
|
299 .LP |
|
300 请参见《\fIBIND 9 管理员参考手册\fR》。从本手册页发布之日起,将在 https://www.isc.org/software/bind/documentation 上提供该文档。 |
|