トランザクション署名(TSIG)キー
Compute Cloud@Customerでは、TSIGキーを作成、追加および削除できます。
DNSトランザクション署名(TSIG)は、RFC 2845で定義されたネットワークプロトコルです。TSIGの主な目的は、DNSがDNSデータベースに対する更新を認証できるようにすることで、悪意のあるユーザーが銀行のIPアドレスではなく(たとえば)不正なIPアドレスを指すように名前解決レコードを変更できないようにすることです。TSIGは、一方向のハッシュおよび共有秘密キーを使用して、DNS更新リクエストを処理(または応答)するために接続のエンドポイントを認証する安全な手段を提供します。
TSIGプロトコルは、記録されたレスポンスのリプレイを防ぐためにタイムスタンプを使用します。したがって、DNSサーバーとTSIGクライアントは、タイムスタンプを提供するために正確なクロックを必要とします。基本的なTSIGプロトコルの拡張がいくつか行われ、TSIGでサポートされている暗号化およびハッシュ方式のタイプが拡張されています。
DNSゾーンにTSIGを使用するには、DNSゾーンにTSIGキーを追加します。TSIGキーはbase64でエンコードする必要があります。
TSIGキーの作成
Compute Cloud@Customerでは、TSIGキーを作成して、共有秘密キーおよび一方向ハッシングを使用して、認可された送信者からDNSパケットが送信され、DNSパケットに暗号化署名が追加されるようにできます。
TSIGキーの既存のリストにTSIGキーを追加するには、一意のTSIGキー名および新しいアルゴリズムまたは新しいキー値を持つ別のキーを作成するだけです。既存のTSIG鍵のフィールドを変更するには、updateコマンドを使用します。
TSIGキーは、DNSゾーンとは別のオブジェクトです。SECONDARY DNSゾーンは、そのExternalMaster定義の一部としてTSIGキーを参照できます。ただし、新しいキーを作成しても、PRIMARYゾーンでは何も行われません。
-
「Compute Cloud@Customerコンソール」ナビゲーション・メニューで、「DNS」、「TSIGキー」の順に選択します。
-
「キーの作成」を選択します。
-
必要なTSIGキー情報を入力します。
-
名前: TSIGキーの名前または説明を指定します。
-
コンパートメント: TSIGキーを作成するコンパートメントを選択します。
-
アルゴリズム:作成するTSIGキーのセキュリティ・アルゴリズム(hmac-sha256など)を選択します。
-
秘密キー:キーに対応するバイナリ共有シークレットをbase64文字列エンコーディングして指定します。最大文字数は255です。base64エンコーディングのキーの例は、RFC3874に示されています。鍵は、2つの方法のいずれかで指定できます。
-
キー・ファイルの選択: この方法でTSIG共有秘密キーを指定する場合は、指定された領域にキー・ファイルをドラッグ・アンド・ドロップできます。
-
キーの貼付け: この方法でTSIG共有秘密キーを指定する場合は、キー・ファイルの内容をコピーして、指定された領域に貼り付けることができます。
-
-
タグ付け: (オプション)このリソースに1つ以上のタグを追加します。タグは後で適用することもできます。リソースのタグ付けの詳細は、リソース・タグを参照してください。
-
-
「TSIGキーの作成」を選択します。
TSIGキーは、TSIGクライアントとDNSサーバーの間のDNSゾーンで使用できるようになりました。
-
oci dns TSIG-key createコマンドおよび必須パラメータを使用して、指定したコンパートメントに新しいTSIGキーを作成します。
oci dns tsig-key create [OPTIONS]CLIのコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。
CreateTsigKey操作を使用して、指定したコンパートメントに新しいTSIGキーを作成します。
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
TSIGキーの削除
Compute Cloud@Customerでは、TSIGキーを削除できます。
-
「Compute Cloud@Customerコンソール」ナビゲーション・メニューで、「DNS」、「TSIGキー」の順に選択します。
- 削除するTSIGキーの「アクション」メニュー(
)を選択し、「削除」を選択します。TSIGキーがリストから削除されます。
-
指定されたTSIGキーを削除するには、oci dns TSIG-key deleteコマンドと必要なパラメータを使用します。
oci dns tsig-key delete [OPTIONS]CLIのコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。
DeleteTsigKey操作を使用して、指定されたTSIGキーを削除します。
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。