dnssec-dsfromkey 指令
用途
產生資源記錄 (RR)。
語法
dnssec-dsfromkey [ -1 | -2 | -a algorithm ] [ -C ] [-T ttl] [-v level] [-K directory] {keyfile}
dnssec-dsfromkey [ -1 | -2 | -a algorithm ] [ -C ] [-T ttl] [-v level] [-c class] [-A] {-f file} [dnsname]
dnssec-dsfromkey [ -1 | -2 | -a algorithm ] [ -C ] [-T ttl] [-v level] [-c class] [-K directory] {-s} {dnsname}
說明
dnssec-dsfromkey 指令的 -C 選項會顯示 DS RR 或子項 DS (CDS) RR。 依預設,只有金鑰簽署金鑰 (KS) (旗標為 257 的金鑰) 會轉換成 DS 記錄。 -A 選項包括區域簽署金鑰 (ZSKs) (旗標為 256 的金鑰) ,以轉換為 DS 記錄。 取消的索引鍵不包括用於轉換為 DS 記錄。 可以使用各種方法來指定輸入索引鍵。 依預設, dnssec-dsfromkey 指令會讀取檔案名稱格式為 Knnnn.+aaa+iiiii.key
的金鑰檔,如 dnssec-keygen 指令所產生。 使用 -f 選項時, dnssec-dsfromkey 指令會從區域檔案或局部區域檔案 (只能包含 DNSKEY 記錄) 中讀取金鑰。 使用 -s 選項,dnssec-dsfromkey 指令會讀取 dnssec-keygen -C 指令所產生的 keyset -file。
旗標
- -1
- 此選項是
-a SHA1
的縮寫。 - -2
- 此選項是
-a SHA-256
的縮寫。 - -a 演算法
指定將 DNSKEY 記錄轉換為 DS 記錄時必須使用的摘要演算法。 此選項可以多次使用,為每一個 DNSKEY 記錄建立多個 DS 記錄。
algorithm 的值必須是 SHA-1、 SHA-256或 SHA-384。 這些值不區分大小寫,且可以省略連字號。 預設值為 SHA-256。
- -A
- 指出產生 DS 記錄時必須包含 ZSKs。 如果沒有此選項,則只有為其設定 KSK 旗標的金鑰會轉換為 DS 記錄並列印。 只有在同時使用 -f 旗標時,此旗標才有用
- -c 類別
- 指定DNS類別。 預設值為
IN
。 只有在同時使用 -f 旗標或 -s 旗標時,此旗標才有用 - -C
- 產生 CDS 而非 DS 記錄。
- -f 檔案
設定區域檔案模式,其中 dnssec-dsfromkey 指令的最終 dnsname 引數是可從中讀取主檔案之區域的 DNS 網域名稱。 如果區域名稱與 file 引數值相同,則可以省略 file 引數。
如果 file 引數的值是-
,則會從標準輸入讀取區域資料。 然後,您可以使用 dig 指令的輸出作為輸入。 例如:dig dnskey example.com | dnssec-dsfromkey -f - example.com
- -h
- 列印用法資訊。
- -K 目錄
- 指定 BIND 9 以在指定的目錄中尋找金鑰檔或 keyset- 檔。
- -s
- 啟用鍵集模式,其中 dnssec-dsfromkey 指令中的最終 dnsname 引數是用來尋找 keyset- 檔案的 DNS 網域名稱。
- -T ttl
- 指定 DS 記錄的存活時間 (TTL)。 依預設,會省略 TTL。
- -v 層次
- 設定除錯層次。
- -V
- 列印版本資訊。
範例
dnssec-dsfromkey -2 Kexample.com.+003+26160
example.com. IN DS 26160 5 2 3A1EADA7A74B8D0BA86726B0C227AA85AB8BBD2B2004F41A868A54F0C5EA0B94
檔案
金鑰檔可以由金鑰識別 Knnnn.+aaa+iiiii
或完整檔名 Knnnn.+aaa+iiiii.key
指定,如 dnssec-keygen 指令所產生。
金鑰集的名稱是根據目錄名稱、字串 keyset-
及 dnsname
來建置。