'\" te
.\" Copyright (C) 2010 Internet Systems Consortium, Inc. ("ISC")
.\" Permission to use, copy, modify, and/or distribute this software for any purpose  with or without fee is hereby granted, provided that the above copyright notice  and this permission notice appear in all copies.  THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF  MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL,  DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING  FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE  USE OR PERFORMANCE OF THIS SOFTWARE.
.\" Portions Copyright (c) 2010, Sun Microsystems, Inc. All Rights Reserved.
.TH dnssec-signzone 8 "2010 年 1 月 11 日" "SunOS 5.12" "システム管理コマンド"
.SH 名前
dnssec-signzone \- DNSSEC ゾーン署名ツール
.SH 形式
.LP
.nf
\fBdnssec-signzone\fR [\fB-Aaghptz\fR] [\fB-c\fR \fIclass\fR] [\fB-d\fR \fIdirectory\fR] 
     [\fB-e\fR \fIend-time\fR] [\fB-f\fR \fIoutput-file\fR] [\fB-H\fR \fIiterations\fR] [\fB-I\fR \fIinput_format\fR]
     [\fB-i\fR \fIinterval\fR] [\fB-k\fR \fIkey\fR] [\fB-l\fR \fIdomain\fR] [\fB-N\fR \fIsoa-serial-format\fR] [\fB-n\fR \fIncpus\fR]
     [\fB-O\fR \fIoutput_format\fR] [\fB-o\fR \fIorigin\fR] [\fB-r\fR \fIrandomdev\fR] [\fB-s\fR \fIstart-time\fR]
     [\fB-v\fR \fIlevel\fR] [\fB-3\fR \fIsalt\fR] \fIzonefile\fR [\fIkey\fR]...
.fi

.SH 機能説明
.sp
.LP
\fBdnssec-signzone\fR ユーティリティーはゾーンに署名します。このユーティリティーは \fBNSEC\fR レコードと \fBRRSIG\fR レコードを生成し、ゾーンの署名されたバージョンを生成します。署名されたゾーンからの委譲のセキュリティーステータス (つまり、子ゾーンがセキュリティー保護されているかどうか) は、子ゾーンごとに \fBkeyset\fR ファイルが存在するかどうかによって決まります。
.SH オプション
.sp
.LP
サポートしているオプションは、次のとおりです。
.sp
.ne 2
.mk
.na
\fB\fB-A\fR\fR
.ad
.sp .6
.RS 4n
NSEC3 チェーンを生成するときに、すべての NSEC3 レコードに \fBOPTOUT\fR フラグを設定し、安全でない委譲に対しては NSEC3 レコードを生成しません。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-a\fR\fR
.ad
.sp .6
.RS 4n
生成されたすべての署名を確認します。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-c\fR \fIclass\fR\fR
.ad
.sp .6
.RS 4n
ゾーンの \fBDNS\fR クラスを指定します。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-d\fR \fIdirectory\fR\fR
.ad
.sp .6
.RS 4n
\fIdirectory\fR 内の \fBkeyset\fR ファイルを検索します。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-e\fR \fIend-time\fR\fR
.ad
.sp .6
.RS 4n
生成された \fBRRSIG\fR レコードの有効期限が切れる日時を指定します。\fBstart-time\fR と同様に、\fBYYYYMMDDHHMMSS\fR の表記で絶対時間が示されます。開始時間からの相対時間は +\fIN\fR で示されます。これは、開始時間から \fIN\fR 秒後であることを示します。現在の時間からの相対時間は \fBnow\fR+\fIN\fR で示されます。\fIend-time\fR が指定されていない場合、開始時間から 30 日後の日時がデフォルトとして使用されます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-f\fR \fIoutput-file\fR\fR
.ad
.sp .6
.RS 4n
署名されたゾーンを含む出力ファイルの名前。デフォルトでは、入力ファイル名に \fB\&.signed\fR が付加されます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-g\fR\fR
.ad
.sp .6
.RS 4n
\fBkeyset\fR ファイルから子ゾーンの DS レコードを生成します。既存の DS レコードは削除されます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-H\fR \fIiterations\fR\fR
.ad
.sp .6
.RS 4n
NSEC3 チェーンを生成するときに、\fIiterations\fR で指定された繰り返しの数を使用します。デフォルトは 100 です。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-h\fR\fR
.ad
.sp .6
.RS 4n
\fBdnssec-signzone()\fR のオプションと引数の簡単なサマリーを出力します。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-I\fR \fIinput-format\fR\fR
.ad
.sp .6
.RS 4n
入力ゾーンファイルの形式。指定可能な形式は \fBtext\fR (デフォルト) と \fBraw\fR です。このオプションは、動的に署名されたゾーンを主に想定したもので、更新を含む非テキスト形式のダンプされたゾーンファイルに直接署名できるようにします。動的でないゾーンに対してこのオプションを使用しても、意味がありません。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-i\fR \fIinterval\fR\fR
.ad
.sp .6
.RS 4n
サイクル間隔 (秒単位) を現在の時間からのオフセットとして指定します。以前に署名されたゾーンが入力として渡された場合は、レコードに再度署名できます。サイクル間隔のあとで \fBRRSIG\fR レコードの有効期限が切れた場合、そのレコードは保持されます。それ以外の場合は、有効期限が間もなく切れるとみなされ、レコードは置き換えられます。
.sp
デフォルトのサイクル間隔は、署名の終了時間と開始時間の差の 4 分の 1 です。\fIend-time\fR と \fIstart-time\fR のどちらも指定されていない場合、\fBdnssec-signzone\fR は、有効期間が 30 日でサイクル間隔が 7.5 日の署名を生成します。7.5 日よりも短い期間で有効期限が切れる既存の \fBRRSIG\fR レコードは、すべて置き換えられます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-j\fR \fIjitter\fR\fR
.ad
.sp .6
.RS 4n
固定された署名有効期間でゾーンに署名すると、署名した時点で発行されたすべての \fBRRSIG\fR レコードが同時に有効期限切れになります。ゾーンが増分的に署名される、つまり、以前に署名されたゾーンが署名者に入力として渡される場合は、期限切れとなるすべての署名をほぼ同じ時間に再生成する必要があります。jitter オプションは、署名の期限切れ時間をランダム化するために使用されるジッター時間を指定することにより、増分的な署名の再生成を徐々に分散させます。
.sp
署名の有効期間のジッターは、キャッシュの有効期限を分散させるため、バリデータとサーバーにもある程度のメリットをもたらします。つまり、すべてのキャッシュにある多数の \fBRRSIG\fR が同時に有効期限切れにならなければ、すべてのバリデータでほぼ同じ時間に再取得が必要になる場合に比べて輻輳は少なくなります。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-k\fR \fIkey\fR\fR
.ad
.sp .6
.RS 4n
指定された \fIkey\fR を鍵署名鍵として扱い、鍵フラグをすべて無視します。このオプションは複数回指定できます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-l\fR \fIdomain\fR\fR
.ad
.sp .6
.RS 4n
鍵 (DNSKEY) と DS セットに加えて DLV セットを生成します。ドメインがレコードの名前に付加されます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-N\fR \fIsoa-serial-format\fR\fR
.ad
.sp .6
.RS 4n
署名されたゾーンの SOA シリアル番号形式。指定可能な形式は、次に説明するように \fBkeep\fR (デフォルト)、\fBincrement\fR、および \fBunixtime\fR です。
.sp
.ne 2
.mk
.na
\fB\fBkeep\fR\fR
.ad
.sp .6
.RS 4n
SOA シリアル番号を変更しません。
.RE

.sp
.ne 2
.mk
.na
\fB\fBincrement\fR \fR
.ad
.sp .6
.RS 4n
RFC 1982 の算術式を使用して SOA シリアル番号を増分します。
.RE

.sp
.ne 2
.mk
.na
\fB\fBunixtime\fR\fR
.ad
.sp .6
.RS 4n
SOA シリアル番号を epoch からの経過秒数に設定します。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-n\fR \fInthreads\fR\fR
.ad
.sp .6
.RS 4n
使用するスレッドの数を指定します。デフォルトでは、検出された CPU ごとに 1 つのスレッドが開始されます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-O\fR \fIoutput_format\fR\fR
.ad
.sp .6
.RS 4n
署名されたゾーンを含む出力ファイルの形式。指定可能な形式は \fBtext\fR (デフォルト) と \fBraw\fR です。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-o\fR \fIorigin\fR\fR
.ad
.sp .6
.RS 4n
ゾーンの起点を指定します。指定されていない場合、ゾーンファイルの名前が起点とみなされます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-p\fR\fR
.ad
.sp .6
.RS 4n
ゾーンに署名するときに疑似乱数データを使用します。この方法は実際のランダムデータを使用する場合に比べて高速ですが、安全性は低下します。このオプションは、大規模なゾーンに署名する場合や、エントロピソースが制限されている場合に役立つことがあります。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-r\fR \fIrandomdev\fR\fR
.ad
.sp .6
.RS 4n
乱数発生元を指定します。オペレーティングシステムによって \fB/dev/random\fR または同等のデバイスが提供されていない場合、デフォルトの乱数発生元はキーボード入力です。\fIrandomdev\fR は、このデフォルトの \fB/dev/random\fR の代わりに使用される、ランダムデータを含む文字デバイスまたはファイルの名前を指定します。特殊な値 \fBkeyboard\fR は、キーボード入力を使用する必要があることを示します。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-s\fR \fIstart-time\fR\fR
.ad
.sp .6
.RS 4n
生成された \fBRRSIG\fR レコードが有効になる日時を指定します。これは絶対時間または相対時間のどちらでもかまいません。絶対開始時間は、\fIYYYYMMDDHHMMSS\fR という表記の数値で示されます。20000530144500 は、2000 年 5 月 30 日の 14:45:00 UTC のことです。相対開始時間は +\fIN\fR で示されます。これは、現在の時間から \fIN\fR 秒後であることを示します。\fIstart-time\fR が指定されていない場合は、(クロックスキューを考慮して) 現在の時間から 1 時間前の時間が使用されます。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-t\fR\fR
.ad
.sp .6
.RS 4n
完了時に統計情報を出力します。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-v\fR \fIlevel\fR\fR
.ad
.sp .6
.RS 4n
デバッグのレベルを設定します。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-z\fR\fR
.ad
.sp .6
.RS 4n
署名する対象を決定するときに、鍵の KSK フラグを無視します。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-3\fR \fIsalt\fR\fR
.ad
.sp .6
.RS 4n
指定された 16 進数でエンコードされた \fIsalt\fR を持つ NSEC3 チェーンを生成します。ダッシュ (\fB-\fR) を使用すると、NSEC3 チェーンを生成するときにソルトが使用されないことを示すことができます。
.RE

.SH オペランド
.sp
.LP
次のオペランドがサポートされています。
.sp
.ne 2
.mk
.na
\fB\fIzonefile\fR\fR
.ad
.sp .6
.RS 4n
署名されるゾーンを含むファイル。
.RE

.sp
.ne 2
.mk
.na
\fB\fIkey\fR\fR
.ad
.sp .6
.RS 4n
ゾーンに署名するためにどの鍵を使用するべきかを指定します。鍵が指定されていない場合は、ゾーンの頂点に \fBDNSKEY\fR レコードがないかどうかが検証されます。レコードが見つかり、かつ一致する秘密鍵が現在のディレクトリ内に存在する場合は、これらの秘密鍵が署名に使用されます。
.RE

.SH 使用例
.LP
\fB例 1 \fRDSA 鍵によるゾーンへの署名
.sp
.LP
次のコマンドは、\fBdnssec-keygen\fR(8) のマニュアルページにある例で生成された DSA 鍵を使用して \fBexample.com\fR ゾーンに署名します (\fBKexample.com.+003+17247\fR)。ゾーンの鍵がマスターファイル (\fBdb.example.com\fR) に存在する必要があります。この呼び出しでは、現在のディレクトリ内で鍵セットファイルを検索することにより、それらのファイルから DS レコードを生成できるようにしています (\fB-g\fR)。

.sp
.in +2
.nf
% \fBdnssec-signzone -g -o example.com db.example.com \e\fR
\fBKexample.com.+003+17247\fR
\fBdb.example.com.signed\fR
%
.fi
.in -2
.sp

.sp
.LP
上の例では、\fBdnssec-signzone\fR はファイル \fBdb.example.com.signed\fR を作成します。このファイルは、\fBnamed.conf\fR ファイル内の zone 文で参照される必要があります。

.LP
\fB例 2 \fR以前に署名されたゾーンへの再署名
.sp
.LP
次のコマンドは、デフォルトのパラメータを使用して、以前に署名されたゾーンに再署名します。秘密鍵が現在のディレクトリに存在しているものとします。

.sp
.in +2
.nf
% \fBcp db.example.com.signed db.example.com\fR
% \fBdnssec-signzone -o example.com db.example.com \e\fR
\fBdb.example.com.signed\fR
%
.fi
.in -2
.sp

.SH 属性
.sp
.LP
属性についての詳細は、マニュアルページの \fBattributes\fR(5) を参照してください。
.sp

.sp
.TS
tab() box;
cw(2.75i) |cw(2.75i) 
lw(2.75i) |lw(2.75i) 
.
属性タイプ属性値
_
使用条件service/network/dns/bind
_
インタフェースの安定性流動的
.TE

.SH 関連項目
.sp
.LP
\fBdnssec-keygen\fR(8), \fBattributes\fR(5)
.sp
.LP
\fIRFC 4033\fR
.sp
.LP
『BIND 9 \fIAdministrator's Reference Manual\fR』を参照してください。このマニュアルページの発行日付時点で、このドキュメントは https://www.isc.org/software/bind/documentation から利用できます。