Clés de signature de transaction (TSIG)
Dans Private Cloud Appliance, vous pouvez créer, ajouter et supprimer des clés TSIG.
Une signature de transaction DNS (TSIG) est un protocole réseau défini dans la RFC 2845. L'objectif principal du TSIG est de permettre au DNS d'authentifier les mises à jour d'une base de données DNS, de sorte que les utilisateurs malveillants ne peuvent pas modifier les enregistrements de résolution de nom pour pointer vers une adresse IP fausse au lieu (par exemple) de l'adresse IP d'une banque. TSIG utilise un hachage unidirectionnel et des clés secrètes partagées pour fournir un moyen sécurisé d'authentifier les points d'extrémité d'une connexion pour traiter (ou répondre) les demandes de mise à jour DNS.
Le protocole TSIG utilise des horodatages pour empêcher la réexécution des réponses enregistrées. Par conséquent, les serveurs DNS et les clients TSIG ont besoin d'horloges précises pour fournir les horodatages. Plusieurs extensions au protocole TSIG de base ont été faites pour étendre les types de cryptographie et de méthodes de hachage qui sont pris en charge par TSIG.
Pour utiliser TSIG pour une zone DNS, ajoutez des clés TSIG à la zone DNS. La clé TSIG doit être encodée à base64.
Création d'une clé TSIG
Sur Private Cloud Appliance, vous pouvez créer des clés TSIG pour vous assurer que les paquets DNS proviennent d'un expéditeur autorisé à l'aide de clés secrètes partagées et d'un hachage unidirectionnel pour ajouter une signature cryptographique aux paquets DNS.
Pour ajouter une clé TSIG à une liste existante de clés TSIG, il suffit de créer une autre clé avec un nom de clé TSIG unique et un nouvel algorithme ou une nouvelle valeur de clé. Pour modifier les champs d'une clé TSIG existante, utilisez la commande update.
Une clé TSIG est un objet distinct d'une zone DNS. Une zone SECONDARY DNS peut référencer une clé TSIG dans le cadre de sa définition ExternalMaster. Mais la création d'une nouvelle clé ne fait rien pour une zone PRIMARY.
-
Dans le menu de navigation Interface Web du service de calcul, sélectionnez DNS, puis Clés TSIG.
-
Sélectionnez Créer une clé.
-
Entrez les données clés TSIG obligatoires :
-
Nom : Entrez un nom ou une description pour la clé TSIG.
-
Compartiment : Sélectionnez le compartiment dans lequel créer la clé TSIG.
-
Algorithme : Sélectionnez l'algorithme de sécurité pour la clé TSIG que vous créez, par exemple hmac-sha256.
-
Clé secrète : Indiquez la chaîne base64 codant pour la clé secrète partagée binaire qui correspond à la clé. Le maximum est de 255 caractères. Un exemple de clé dans l'encodage base64 est affiché dans RFC3874. Vous pouvez fournir la clé de l'une des deux façons suivantes :
-
Sélectionner le fichier de clé : Si vous fournissez la clé secrète partagée TSIG de cette façon, vous pouvez glisser-déposer le fichier de clé dans l'espace fourni.
-
Coller la clé : Si vous fournissez la clé secrète partagée TSIG de cette façon, vous pouvez copier et coller le contenu du fichier de clé dans l'espace fourni.
-
-
Marquage : (Facultatif) Ajoutez des marqueurs définis ou à structure libre pour cette ressource, comme décrit dans Ajout de marqueurs lors de la création de la ressource. Les marqueurs peuvent également être appliqués ultérieurement.
-
-
Sélectionnez Créer une clé TSIG.
La clé TSIG est maintenant disponible pour utilisation dans la zone DNS entre le client TSIG et le serveur DNS.
-
Utilisez la commande oci dns TSIG-key create et les paramètres requis pour créer une nouvelle clé TSIG dans le compartiment spécifié.
oci dns tsig-key create [OPTIONS]Pour la liste complète des commandes, indicateurs et options de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.
Utilisez l'opération CreateTsigKey pour créer une nouvelle clé TSIG dans le compartiment spécifié.
Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.
Suppression d'une clé TSIG
Sur Private Cloud Appliance, vous pouvez supprimer une clé TSIG.
-
Dans le menu de navigation Interface Web du service de calcul, sélectionnez DNS, puis Clés TSIG.
- Sélectionnez le menu Actions (
) pour la clé TSIG à supprimer, puis sélectionnez Supprimer.La clé TSIG est supprimée de la liste.
-
Utilisez la commande oci dns TSIG-key delete et les paramètres requis pour supprimer la clé TSIG spécifiée.
oci dns tsig-key delete [OPTIONS]Pour la liste complète des commandes, indicateurs et options de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.
Utilisez l'opération DeleteTsigKey pour supprimer la clé TSIG spécifiée.
Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.