'\" te
.\" Copyright (C) 2010 Internet Systems Consortium, Inc. ("ISC")
.\" Permission to use, copy, modify, and/or distribute this software for any purpose with or without fee is hereby granted, provided that the above copyright notice and this permission notice appear in all copies. THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
.\" Portions Copyright (c) 2010, Sun Microsystems, Inc. All Rights Reserved.
.TH dnssec-keyfromlabel 1M "2010 年 1 月 11 日" "SunOS 5.12" "系统管理命令"
.SH 名称
dnssec-keyfromlabel \- DNSSEC 密钥生成工具
.SH 用法概要
.LP
.nf
\fBdnssec-keyfromlabel\fR \fB-a\fR \fIalgorithm\fR \fB-l\fR \fIlabel\fR [\fB-c\fR \fIclass\fR] [\fB-f\fR \fIflag\fR] [\fB-k\fR]
[\fB-n\fR \fInametype\fR] [\fB-p\fR \fIprotocol\fR] [\fB-t\fR \fItype\fR] [\fB-v\fR \fIlevel\fR] \fIname\fR
.fi
.SH 描述
.sp
.LP
\fBdnssec-keyfromlabel\fR 从加密硬件设备使用指定的标签检索密钥,并为 DNSSEC(安全 DNS)生成密钥文件,如 RFC 2535 和 RFC 4034 中所定义的那样。
.SH 选项
.sp
.LP
支持以下选项:
.sp
.ne 2
.mk
.na
\fB\fB-a\fR \fIalgorithm\fR\fR
.ad
.sp .6
.RS 4n
选择加密算法。\fIalgorithm\fR 的值必须是 \fBRSAMD5\fR (RSA) 或 \fBRSASHA1\fR、\fBDSA\fR、\fBNSEC3RSASHA1\fR、\fBNSEC3DSA\fR 或 \fBDH\fR (Diffie-Hellman) 之一。这些值不区分大小写。
.sp
请注意,对于 \fBDNSSEC\fR,\fBRSASHA1\fR 是强制实现的算法;DSA 是建议的算法。另请注意,\fBDH\fR 自动设置 \fB-k\fR 标志。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-L\fR \fIlabel\fR\fR
.ad
.sp .6
.RS 4n
指定加密硬件 (PKCS#11) 设备中的密钥标签。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-n\fR \fInametype\fR\fR
.ad
.sp .6
.RS 4n
指定密钥的所有者类型。\fInametype\fR 的值必须是 \fBZONE\fR(对于 \fBDNSSEC\fR 区域密钥 (\fBKEY\fR/\fBDNSKEY\fR))、\fBHOST\fR 或 \fBENTITY\fR(对于与主机相关的密钥 (\fBKEY\fR))、\fBUSER\fR(对于与用户相关的密钥 (\fBKEY\fR))或 \fBOTHER\fR (\fBDNSKEY\fR)。这些值不区分大小写。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-c\fR \fIclass\fR\fR
.ad
.sp .6
.RS 4n
表明包含密钥的 DNS 记录应该具有指定类。如果没有指定,将使用类 \fBIN\fR。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-f\fR \fIflag\fR\fR
.ad
.sp .6
.RS 4n
在 \fBKEY\fR/\fBDNSKEY\fR 记录的标志字段中设置指定的标志。唯一识别的标志是 \fBKSK\fR(Key Signing Key,密钥签名密钥)\fBDNSKEY\fR。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-h\fR\fR
.ad
.sp .6
.RS 4n
显示 \fBdnssec-keyfromlabel\fR 的选项和参数的简短摘要。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-k\fR \fI\fR\fR
.ad
.sp .6
.RS 4n
生成 \fBKEY\fR 记录,而不是 \fBDNSKEY\fR 记录。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-p\fR \fIprotocol\fR\fR
.ad
.sp .6
.RS 4n
为生成的密钥设置协议值。协议是 0 到 255 之间的数字。缺省值是 \fB3\fR (\fBDNSSEC\fR)。在 RFC 2535 及其后续 RFC 中列出了此参数的其他可能值。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-t\fR \fItype\fR\fR
.ad
.sp .6
.RS 4n
表明密钥的用途。\fItype\fR 必须是 \fBAUTHCONF\fR、\fBNOAUTHCONF\fR、\fBNOAUTH\fR 或 \fBNOCONF\fR 之一。缺省值是 \fBAUTHCONF\fR。\fBAUTH\fR 指的是验证数据的能力,\fBCONF\fR 指的是加密数据的能力。
.RE
.sp
.ne 2
.mk
.na
\fB\fB-v\fR \fIlevel\fR\fR
.ad
.sp .6
.RS 4n
设置调试级别。
.RE
.SH 生成的密钥文件
.sp
.LP
当 \fBdnssec-keyfromlabel\fR 成功完成时,会向标准输出中显示 \fBK\fInnnn\fR.+\fIaaa\fR+\fIiiiii\fR\fR 格式的字符串。这是其生成的密钥文件的标识字符串,其意义如下。
.RS +4
.TP
.ie t \(bu
.el o
\fInnnn\fR 是密钥名称。
.RE
.RS +4
.TP
.ie t \(bu
.el o
\fIaaa\fR 是算法的数字表示。
.RE
.RS +4
.TP
.ie t \(bu
.el o
\fIiiiii\fR 是密钥标识符(或足迹)。
.RE
.sp
.LP
\fBdnssec-keyfromlabel\fR 创建两个文件,并根据显示的字符串命名这两个文件。\fBK\fInnnn\fR.+\fIaaa\fR+\fIiiiii\fR.key\fR 包含公钥,\fBK\fInnnn\fR.+\fI aaa\fR+\fIiiiii\fR.private\fR 包含私钥。
.sp
.LP
第一个文件包含 \fBDNS\fR \fBKEY\fR 记录,该记录可以直接插入到区域文件,也可以使用 \fB$INCLUDE\fR 语句插入。
.sp
.LP
第二个文件包含算法特定的字段。出于安全原因,此文件不具有一般读取权限。
.SH 属性
.sp
.LP
有关下列属性的说明,请参见 \fBattributes\fR(5):
.sp
.sp
.TS
tab(�) box;
cw(2.75i) |cw(2.75i)
lw(2.75i) |lw(2.75i)
.
属性类型�属性值
_
可用性�service/network/dns/bind
_
接口稳定性�Volatile(可变)
.TE
.SH 另请参见
.sp
.LP
\fBdnssec-keygen\fR(1M)、\fBdnssec-signzone\fR(1M)、\fBattributes\fR(5)
.sp
.LP
\fIRFC 2539\fR、\fIRFC 2845\fR、\fIRFC 4033\fR
.sp
.LP
请参见《\fIBIND 9 管理员参考手册\fR》。从本手册页发布之日起,将在 https://www.isc.org/software/bind/documentation 上提供该文档。