Transaction Signature-(TSIG-)Schlüssel
Auf Compute Cloud@Customer können Sie TSIG-Schlüssel erstellen, hinzufügen und löschen.
Eine DNS-Transaktionssignatur (TSIG) ist ein in RFC 2845 definiertes Netzwerkprotokoll. Der Hauptzweck der TSIG besteht darin, DNS die Authentifizierung von Aktualisierungen einer DNS-Datenbank zu ermöglichen, sodass böswillige Benutzer Namensauflösungsdatensätze nicht so ändern können, dass sie auf eine falsche IP-Adresse verweisen, anstatt (z. B.) die IP-Adresse einer Bank. TSIG verwendet einseitiges Hashing und Shared Secret-Schlüssel, um eine sichere Methode zur Authentifizierung der Endpunkte einer Verbindung zur Verarbeitung (oder Beantwortung) von DNS-Aktualisierungsanforderungen bereitzustellen.
Das TSIG-Protokoll verwendet Zeitstempel, um die Wiedergabe aufgezeichneter Antworten zu verhindern. Daher benötigen DNS-Server und TSIG-Clients genaue Uhren, um die Zeitstempel bereitzustellen. Es wurden mehrere Erweiterungen des grundlegenden TSIG-Protokolls vorgenommen, um die Arten von Kryptographie- und Hashing-Methoden zu erweitern, die von TSIG unterstützt werden.
Um TSIG für eine DNS-Zone zu verwenden, fügen Sie der DNS-Zone TSIG-Schlüssel hinzu. Der TSIG-Schlüssel muss mit base64 codiert sein.
TSIG-Schlüssel erstellen
Auf Compute Cloud@Customer können Sie TSIG-Schlüssel erstellen, um sicherzustellen, dass DNS-Pakete von einem autorisierten Absender stammen, indem Sie den DNS-Paketen mit Shared Secret-Schlüsseln und einseitigem Hashing eine kryptografische Signatur hinzufügen.
Um einen TSIG-Schlüssel zu einer vorhandenen Liste von TSIG-Schlüsseln hinzuzufügen, erstellen Sie einfach einen anderen Schlüssel mit einem eindeutigen TSIG-Schlüsselnamen und einem neuen Algorithmus oder einem neuen Schlüsselwert. Um Felder in einem vorhandenen TSIG-Schlüssel zu ändern, verwenden Sie den Befehl update.
Ein TSIG-Schlüssel ist ein separates Objekt von einer DNS-Zone. Eine SECONDARY DNS-Zone kann einen TSIG-Schlüssel als Teil der ExternalMaster-Definition referenzieren. Das Erstellen eines neuen Schlüssels führt jedoch nichts für eine PRIMARY-Zone aus.
-
Wählen Sie im Navigationsmenü der Compute Cloud@Customer-Konsole die Option DNS aus, und wählen Sie TSIG-Schlüssel aus.
-
Wählen Sie Schlüssel erstellen aus.
-
Geben Sie die erforderlichen TSIG-Schlüsselinformationen ein:
-
Name: Geben Sie einen Namen oder eine Beschreibung für den TSIG-Schlüssel an.
-
Compartment: Wählen Sie das Compartment aus, in dem der TSIG-Schlüssel erstellt werden soll.
-
Algorithmus: Wählen Sie den Sicherheitsalgorithmus für den TSIG-Schlüssel aus, den Sie erstellen, z.B. hmac-sha256.
-
Secret Key: Geben Sie die base64-Zeichenfolge zum Codieren des binären Shared Secret an, das dem Schlüssel entspricht. Es können maximal 255 Zeichen verwendet werden. Ein Beispielschlüssel in der base64-Codierung wird in RFC3874 angezeigt. Es gibt zwei Möglichkeiten, den Schlüssel bereitzustellen:
-
Schlüsseldatei auswählen: Wenn Sie den Shared Secret Key des TSIG auf diese Weise angeben, können Sie die Schlüsseldatei per Drag-and-Drop in den angegebenen Bereich verschieben.
-
Schlüssel einfügen: Wenn Sie den Shared Secret Key des TSIG auf diese Weise angeben, können Sie den Inhalt der Schlüsseldatei kopieren und in den angegebenen Bereich einfügen.
-
-
Tagging: (Optional) Fügen Sie dieser Ressource mindestens ein Tag hinzu. Tags können auch später angewendet werden. Weitere Informationen zum Tagging von Ressourcen finden Sie unter Ressourcentags.
-
-
Wählen Sie TSIG-Schlüssel erstellen aus.
Der TSIG-Schlüssel ist jetzt für die Verwendung in der DNS-Zone zwischen TSIG-Client und DNS-Server verfügbar.
-
Verwenden Sie den Befehl oci dns TSIG-key create und die erforderlichen Parameter, um einen neuen TSIG-Schlüssel im angegebenen Compartment zu erstellen.
oci dns tsig-key create [OPTIONS]Eine vollständige Liste der CLI-Befehle, Kennzeichen und Optionen finden Sie in der Befehlszeilenreferenz.
Verwenden Sie den Vorgang CreateTsigKey, um einen neuen TSIG-Schlüssel im angegebenen Compartment zu erstellen.
Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).
TSIG-Schlüssel löschen
Auf Compute Cloud@Customer können Sie einen TSIG-Schlüssel löschen.
-
Wählen Sie im Navigationsmenü der Compute Cloud@Customer-Konsole die Option DNS aus, und wählen Sie TSIG-Schlüssel aus.
- Wählen Sie das Menü "Aktionen" (
) für die TSIG-Taste, die Sie löschen möchten, und wählen Sie Löschen aus.Der TSIG-Schlüssel wird aus der Liste entfernt.
-
Verwenden Sie den Befehl oci dns TSIG-key delete und die erforderlichen Parameter, um den angegebenen TSIG-Schlüssel zu löschen.
oci dns tsig-key delete [OPTIONS]Eine vollständige Liste der CLI-Befehle, Kennzeichen und Optionen finden Sie in der Befehlszeilenreferenz.
Verwenden Sie den Vorgang DeleteTsigKey, um den angegebenen TSIG-Schlüssel zu löschen.
Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).