dnssec-keyfromlabel - DNSSEC 鍵生成ツール
dnssec-keyfromlabel -a algorithm -l label [-c class] [-f flag] [-k] [-n nametype] [-p protocol] [-t type] [-v level] name
dnssec-keyfromlabel は、指定されたラベルを含む鍵を暗号化ハードウェアデバイスから取得し、RFC 2535 および RFC 4034 で定義されている DNSSEC (Secure DNS) の鍵ファイルを作成します。
サポートしているオプションは、次のとおりです。
暗号化アルゴリズムを選択します。algorithm の値は、RSAMD5 (RSA) または RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA、DH (Diffie-Hellman) のいずれかにする必要があります。これらの値は大文字と小文字が区別されません。
DNSSEC の場合、RSASHA1 は実装が必須のアルゴリズムであるため、DSA が推奨されることに注意してください。また、DH では –k フラグが自動的に設定されることにも注意してください。
暗号化ハードウェア (PKCS#11) デバイス内の鍵のラベルを指定します。
鍵の所有者型を指定します。nametype の値は、ZONE (DNSSEC ゾーン鍵 (KEY/DNSKEY) の場合)、HOST または ENTITY (ホストに関連付けられた鍵 (KEY) の場合)、USER (ユーザーに関連付けられた鍵 (KEY) の場合)、OTHER (DNSKEY) のいずれかにする必要があります。これらの値は大文字と小文字が区別されません。
鍵を含む DNS レコードに、指定されたクラスが存在するべきであることを示します。指定されていない場合は、クラス IN が使用されます。
指定されたフラグを KEY/DNSKEY レコードのフラグフィールドに設定します。認識されるフラグは KSK (Key Signing Key) DNSKEY のみです。
dnssec-keyfromlabel のオプションと引数の簡単なサマリーを表示します。
DNSKEY レコードではなく KEY レコードを生成します。
生成された鍵のプロトコル値を設定します。プロトコルは 0 - 255 の数値です。デフォルトは 3 (DNSSEC) です。この引数に指定可能なほかの値は、RFC 2535 およびそれ以降のバージョンに記載されています。
鍵の使用を示します。type は、AUTHCONF、NOAUTHCONF、NOAUTH、NOCONF のいずれかにする必要があります。デフォルトは AUTHCONF です。AUTH はデータを認証する機能を、CONF はデータを暗号化する機能を示します。
デバッグのレベルを設定します。
dnssec-keyfromlabel が正常に完了すると、Knnnn.+aaa+iiiii の形式の文字列が標準出力に表示されます。これは生成された鍵ファイルの識別文字列で、次の内容を示します。
nnnn は鍵名です。
aaa はアルゴリズムの数値表現です。
iiiii は鍵識別子 (またはフットプリント) です。
dnssec-keyfromlabel は、表示された文字列に基づいた名前を持つ 2 つのファイルを作成します。Knnnn.+aaa+iiiii.key には公開鍵が、Knnnn.+ aaa+iiiii.private には秘密鍵が含まれます。
最初のファイルには、ゾーンファイルに (直接、または $INCLUDE 文を使用して) 挿入できる DNS KEY レコードが含まれます。
2 番目のファイルには、アルゴリズムに固有のフィールドが含まれます。セキュリティー上の理由から、このファイルには一般的な読み取り権はありません。
属性についての詳細は、マニュアルページの attributes(5) を参照してください。
|
dnssec-keygen(1M)、dnssec-signzone(1M)、attributes(5)
RFC 2539、RFC 2845、RFC 4033
『BIND 9 Administrator's Reference Manual』を参照してください。このマニュアルページの発行日付時点で、このドキュメントは https://kb.isc.org/article/AA-01031https://kb.isc.org/article/AA-01031 から利用できます。