dnssec-keyfromlabel -a algorithm -l label [-c class] [-f flag] [-k]
[-n nametype] [-p protocol] [-t type] [-v level] name
dnssec-keyfromlabel 从加密硬件设备使用指定的标签检索密钥,并为 DNSSEC(安全 DNS)生成密钥文件,如 RFC 2535 和 RFC 4034 中所定义的那样。
支持以下选项:
选择加密算法。algorithm 的值必须是 RSAMD5 (RSA) 或 RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA 或 DH (Diffie-Hellman) 之一。这些值不区分大小写。
请注意,对于 DNSSEC,RSASHA1 是强制实现的算法;DSA 是建议的算法。另请注意,DH 自动设置 –k 标志。
指定加密硬件 (PKCS#11) 设备中的密钥标签。
指定密钥的所有者类型。nametype 的值必须是 ZONE(对于 DNSSEC 区域密钥 (KEY/DNSKEY))、HOST 或 ENTITY(对于与主机相关的密钥 (KEY))、USER(对于与用户相关的密钥 (KEY))或 OTHER (DNSKEY)。这些值不区分大小写。
表明包含密钥的 DNS 记录应该具有指定类。如果没有指定,将使用类 IN。
在 KEY/DNSKEY 记录的标志字段中设置指定的标志。唯一识别的标志是 KSK(Key Signing Key,密钥签名密钥)DNSKEY。
显示 dnssec-keyfromlabel 的选项和参数的简短摘要。
生成 KEY 记录,而不是 DNSKEY 记录。
为生成的密钥设置协议值。协议是 0 到 255 之间的数字。缺省值是 3 (DNSSEC)。在 RFC 2535 及其后续 RFC 中列出了此参数的其他可能值。
表明密钥的用途。type 必须是 AUTHCONF、NOAUTHCONF、NOAUTH 或 NOCONF 之一。缺省值是 AUTHCONF。AUTH 指的是验证数据的能力,CONF 指的是加密数据的能力。
设置调试级别。
当 dnssec-keyfromlabel 成功完成时,会向标准输出中显示 Knnnn.+aaa+iiiii 格式的字符串。这是其生成的密钥文件的标识字符串,其意义如下。
nnnn 是密钥名称。
aaa 是算法的数字表示。
iiiii 是密钥标识符(或足迹)。
dnssec-keyfromlabel 创建两个文件,并根据显示的字符串命名这两个文件。Knnnn.+aaa+iiiii.key 包含公钥,Knnnn.+ aaa+iiiii.private 包含私钥。
第一个文件包含 DNS KEY 记录,该记录可以直接插入到区域文件,也可以使用 $INCLUDE 语句插入。
第二个文件包含算法特定的字段。出于安全原因,此文件不具有一般读取权限。
有关下列属性的说明,请参见 attributes(5):
|
dnssec-keygen(1M)、dnssec-signzone(1M)、attributes(5)
RFC 2539、RFC 2845、RFC 4033
请参见《BIND 9 管理员参考手册》。从本手册页发布之日起,将在 https://kb.isc.org/article/AA-01031https://kb.isc.org/article/AA-01031 上提供该文档。