トランザクション署名(TSIG)キー
Private Cloud Applianceでは、TSIGキーを作成、追加および削除できます。
DNSトランザクション署名(TSIG)は、RFC 2845で定義されたネットワークプロトコルです。TSIGの主な目的は、DNSがDNSデータベースに対する更新を認証できるようにすることです。これにより、悪意のあるユーザーは、銀行のIPアドレスではなく、不正なIPアドレスを指すように名前解決レコードを変更できなくなります。TSIGは、一方向ハッシュおよび共有秘密キーを使用して、DNS更新リクエストを処理(または応答)するために接続のエンドポイントを認証する安全な手段を提供します。
TSIGプロトコルは、記録されたレスポンスのリプレイを防ぐためにタイムスタンプを使用します。したがって、DNSサーバーおよびTSIGクライアントでは、タイムスタンプを提供するために正確なクロックが必要です。基本的なTSIGプロトコルのいくつかの拡張は、TSIGがサポートする暗号化およびハッシュ・メソッドのタイプを拡張するために行われています。
DNSゾーンにTSIGを使用するには、DNSゾーンにTSIGキーを追加します。TSIGキーは、base64でエンコードする必要があります。
TSIG鍵の作成
On Private Cloud Appliance, you can create TSIG keys to ensure that DNS packets originate from an authorized sender by using shared secret keys and one-way hashing to add a cryptographic signature to the DNS packets.
TSIGキーの既存のリストにTSIGキーを追加するには、一意のTSIGキー名と新しいアルゴリズムまたは新しいキー値を持つ別のキーを作成します。既存のTSIGキーのフィールドを変更するには、updateコマンドを使用します。
TSIGキーは、DNSゾーンとは別のオブジェクトです。SECONDARY DNSゾーンは、ExternalMaster定義の一部としてTSIGキーを参照できます。ただし、新しいキーを作成しても、PRIMARYゾーンに対して何も実行されません。
-
「Web UIの計算」ナビゲーション・メニューで、「DNS」、「TSIGキー」の順に選択します。
-
「キーの作成」を選択します。
-
必要なTSIGキー情報を入力します。
-
名前: TSIGキーの名前または説明を指定します。
-
コンパートメント: TSIGキーを作成するコンパートメントを選択します、
-
アルゴリズム:作成するTSIGキーのセキュリティ・アルゴリズム(hmac-sha256など)を選択します。
-
シークレット・キー:キーに対応するバイナリ共有シークレットをbase64文字列でエンコードしたものを指定します。最大255文字です。base64エンコーディングのキーの例は、RFC3874に示されています。次の2つの方法のいずれかでキーを指定できます。
-
キー・ファイルの選択: この方法でTSIG共有秘密キーを指定した場合、指定された領域にキー・ファイルをドラッグ・アンド・ドロップできます。
-
キーの貼付け: この方法でTSIG共有秘密キーを指定した場合、キー・ファイルの内容をコピーして、提供された領域に貼り付けることができます。
-
-
タグ付け: (オプション) リソース作成時のタグの追加の説明に従って、このリソースに定義済タグまたはフリーフォーム・タグを追加します。タグは後で適用することもできます。
-
-
「TSIGキーの作成」を選択します。
TSIGキーは、TSIGクライアントとDNSサーバーの間のDNSゾーンで使用できるようになりました。
-
指定されたコンパートメントに新しいTSIGキーを作成するには、oci dns TSIG-key createコマンドと必要なパラメータを使用します。
oci dns tsig-key create [OPTIONS]CLIコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。
CreateTsigKey操作を使用して、指定したコンパートメントに新しいTSIGキーを作成します。
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
TSIG鍵の削除
Private Cloud Applianceでは、TSIGキーを削除できます。
-
「Web UIの計算」ナビゲーション・メニューで、「DNS」、「TSIGキー」の順に選択します。
- 削除するTSIGキーの「アクション」メニュー(
)を選択し、「削除」を選択します。TSIGキーがリストから削除されます。
-
指定されたTSIGキーを削除するには、oci dns TSIG-key deleteコマンドと必要なパラメータを使用します。
oci dns tsig-key delete [OPTIONS]CLIコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。
DeleteTsigKey操作を使用して、指定したTSIGキーを削除します。
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。