Merge from vendor branch BZIP:
[dragonfly.git] / contrib / bind-9.3 / bin / dnssec / dnssec-keygen.html
1 <!--
2  - Copyright (C) 2004, 2005 Internet Systems Consortium, Inc. ("ISC")
3  - Copyright (C) 2000-2003 Internet Software Consortium.
4  - 
5  - Permission to use, copy, modify, and distribute this software for any
6  - purpose with or without fee is hereby granted, provided that the above
7  - copyright notice and this permission notice appear in all copies.
8  - 
9  - THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH
10  - REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY
11  - AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT,
12  - INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM
13  - LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE
14  - OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR
15  - PERFORMANCE OF THIS SOFTWARE.
16 -->
17 <!-- $Id: dnssec-keygen.html,v 1.5.2.1.4.15 2006/06/29 13:02:30 marka Exp $ -->
18 <html>
19 <head>
20 <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
21 <title>dnssec-keygen</title>
22 <meta name="generator" content="DocBook XSL Stylesheets V1.70.1">
23 </head>
24 <body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="refentry" lang="en">
25 <a name="id2482688"></a><div class="titlepage"></div>
26 <div class="refnamediv">
27 <h2>Name</h2>
28 <p><span class="application">dnssec-keygen</span> &#8212; DNSSEC key generation tool</p>
29 </div>
30 <div class="refsynopsisdiv">
31 <h2>Synopsis</h2>
32 <div class="cmdsynopsis"><p><code class="command">dnssec-keygen</code>  {-a <em class="replaceable"><code>algorithm</code></em>} {-b <em class="replaceable"><code>keysize</code></em>} {-n <em class="replaceable"><code>nametype</code></em>} [<code class="option">-c <em class="replaceable"><code>class</code></em></code>] [<code class="option">-e</code>] [<code class="option">-f <em class="replaceable"><code>flag</code></em></code>] [<code class="option">-g <em class="replaceable"><code>generator</code></em></code>] [<code class="option">-h</code>] [<code class="option">-k</code>] [<code class="option">-p <em class="replaceable"><code>protocol</code></em></code>] [<code class="option">-r <em class="replaceable"><code>randomdev</code></em></code>] [<code class="option">-s <em class="replaceable"><code>strength</code></em></code>] [<code class="option">-t <em class="replaceable"><code>type</code></em></code>] [<code class="option">-v <em class="replaceable"><code>level</code></em></code>] {name}</p></div>
33 </div>
34 <div class="refsect1" lang="en">
35 <a name="id2549521"></a><h2>DESCRIPTION</h2>
36 <p>
37         <span><strong class="command">dnssec-keygen</strong></span> generates keys for DNSSEC
38         (Secure DNS), as defined in RFC 2535 and RFC &lt;TBA\&gt;.  It can also generate
39         keys for use with TSIG (Transaction Signatures), as
40         defined in RFC 2845.
41     </p>
42 </div>
43 <div class="refsect1" lang="en">
44 <a name="id2549533"></a><h2>OPTIONS</h2>
45 <div class="variablelist"><dl>
46 <dt><span class="term">-a <em class="replaceable"><code>algorithm</code></em></span></dt>
47 <dd>
48 <p>
49               Selects the cryptographic algorithm.  The value of
50               <code class="option">algorithm</code> must be one of RSAMD5 (RSA) or RSASHA1,
51               DSA, DH (Diffie Hellman), or HMAC-MD5.  These values
52               are case insensitive.
53           </p>
54 <p>
55               Note 1: that for DNSSEC, RSASHA1 is a mandatory to implement algorithm,
56               and DSA is recommended.  For TSIG, HMAC-MD5 is mandatory.
57           </p>
58 <p>
59               Note 2: HMAC-MD5 and DH automatically set the -k flag.
60           </p>
61 </dd>
62 <dt><span class="term">-b <em class="replaceable"><code>keysize</code></em></span></dt>
63 <dd><p>
64                Specifies the number of bits in the key.  The choice of key
65                size depends on the algorithm used.  RSAMD5 / RSASHA1 keys must be between
66                512 and 2048 bits.  Diffie Hellman keys must be between
67                128 and 4096 bits.  DSA keys must be between 512 and 1024
68                bits and an exact multiple of 64.  HMAC-MD5 keys must be
69                between 1 and 512 bits.
70           </p></dd>
71 <dt><span class="term">-n <em class="replaceable"><code>nametype</code></em></span></dt>
72 <dd><p>
73                Specifies the owner type of the key.  The value of
74                <code class="option">nametype</code> must either be ZONE (for a DNSSEC
75                zone key (KEY/DNSKEY)), HOST or ENTITY (for a key associated with a host (KEY)),
76                USER (for a key associated with a user(KEY)) or OTHER (DNSKEY).  These values are
77                case insensitive.
78           </p></dd>
79 <dt><span class="term">-c <em class="replaceable"><code>class</code></em></span></dt>
80 <dd><p>
81                Indicates that the DNS record containing the key should have
82                the specified class.  If not specified, class IN is used.
83           </p></dd>
84 <dt><span class="term">-e</span></dt>
85 <dd><p>
86                If generating an RSAMD5/RSASHA1 key, use a large exponent.
87           </p></dd>
88 <dt><span class="term">-f <em class="replaceable"><code>flag</code></em></span></dt>
89 <dd><p>
90                 Set the specified flag in the flag field of the KEY/DNSKEY record.
91                 The only recognized flag is KSK (Key Signing Key) DNSKEY.
92           </p></dd>
93 <dt><span class="term">-g <em class="replaceable"><code>generator</code></em></span></dt>
94 <dd><p>
95                If generating a Diffie Hellman key, use this generator.
96                Allowed values are 2 and 5.  If no generator
97                is specified, a known prime from RFC 2539 will be used
98                if possible; otherwise the default is 2.
99           </p></dd>
100 <dt><span class="term">-h</span></dt>
101 <dd><p>
102                Prints a short summary of the options and arguments to
103                <span><strong class="command">dnssec-keygen</strong></span>.
104           </p></dd>
105 <dt><span class="term">-k</span></dt>
106 <dd><p>
107                Generate KEY records rather than DNSKEY records.
108           </p></dd>
109 <dt><span class="term">-p <em class="replaceable"><code>protocol</code></em></span></dt>
110 <dd><p>
111                Sets the protocol value for the generated key.  The protocol
112                is a number between 0 and 255.  The default is 3 (DNSSEC).
113                Other possible values for this argument are listed in
114                RFC 2535 and its successors.
115           </p></dd>
116 <dt><span class="term">-r <em class="replaceable"><code>randomdev</code></em></span></dt>
117 <dd><p>
118                Specifies the source of randomness.  If the operating
119                system does not provide a <code class="filename">/dev/random</code>
120                or equivalent device, the default source of randomness
121                is keyboard input.  <code class="filename">randomdev</code> specifies
122                the name of a character device or file containing random
123                data to be used instead of the default.  The special value
124                <code class="filename">keyboard</code> indicates that keyboard
125                input should be used.
126           </p></dd>
127 <dt><span class="term">-s <em class="replaceable"><code>strength</code></em></span></dt>
128 <dd><p>
129                Specifies the strength value of the key.  The strength is
130                a number between 0 and 15, and currently has no defined
131                purpose in DNSSEC.
132           </p></dd>
133 <dt><span class="term">-t <em class="replaceable"><code>type</code></em></span></dt>
134 <dd><p>
135                Indicates the use of the key.  <code class="option">type</code> must be
136                one of AUTHCONF, NOAUTHCONF, NOAUTH, or NOCONF.  The default
137                is AUTHCONF.  AUTH refers to the ability to authenticate
138                data, and CONF the ability to encrypt data.
139           </p></dd>
140 <dt><span class="term">-v <em class="replaceable"><code>level</code></em></span></dt>
141 <dd><p>
142                Sets the debugging level.
143           </p></dd>
144 </dl></div>
145 </div>
146 <div class="refsect1" lang="en">
147 <a name="id2549939"></a><h2>GENERATED KEYS</h2>
148 <p>
149         When <span><strong class="command">dnssec-keygen</strong></span> completes successfully,
150         it prints a string of the form <code class="filename">Knnnn.+aaa+iiiii</code>
151         to the standard output.  This is an identification string for
152         the key it has generated.
153     </p>
154 <div class="itemizedlist"><ul type="disc">
155 <li><p>
156           <code class="filename">nnnn</code> is the key name.
157         </p></li>
158 <li><p>
159           <code class="filename">aaa</code> is the numeric representation of the
160           algorithm.
161         </p></li>
162 <li><p>
163           <code class="filename">iiiii</code> is the key identifier (or footprint).
164         </p></li>
165 </ul></div>
166 <p>
167         <span><strong class="command">dnssec-keygen</strong></span> creates two file, with names based
168         on the printed string.  <code class="filename">Knnnn.+aaa+iiiii.key</code>
169         contains the public key, and
170         <code class="filename">Knnnn.+aaa+iiiii.private</code> contains the private
171         key.
172     </p>
173 <p>
174         The <code class="filename">.key</code> file contains a DNS KEY record that
175         can be inserted into a zone file (directly or with a $INCLUDE
176         statement).
177     </p>
178 <p>
179         The <code class="filename">.private</code> file contains algorithm specific
180         fields.  For obvious security reasons, this file does not have
181         general read permission.
182     </p>
183 <p>
184         Both <code class="filename">.key</code> and <code class="filename">.private</code>
185         files are generated for symmetric encryption algorithm such as
186         HMAC-MD5, even though the public and private key are equivalent.
187     </p>
188 </div>
189 <div class="refsect1" lang="en">
190 <a name="id2550027"></a><h2>EXAMPLE</h2>
191 <p>
192         To generate a 768-bit DSA key for the domain
193         <strong class="userinput"><code>example.com</code></strong>, the following command would be
194         issued:
195     </p>
196 <p>
197         <strong class="userinput"><code>dnssec-keygen -a DSA -b 768 -n ZONE example.com</code></strong>
198     </p>
199 <p>
200         The command would print a string of the form:
201     </p>
202 <p>
203         <strong class="userinput"><code>Kexample.com.+003+26160</code></strong>
204     </p>
205 <p>
206         In this example, <span><strong class="command">dnssec-keygen</strong></span> creates
207         the files <code class="filename">Kexample.com.+003+26160.key</code> and
208         <code class="filename">Kexample.com.+003+26160.private</code>
209     </p>
210 </div>
211 <div class="refsect1" lang="en">
212 <a name="id2550073"></a><h2>SEE ALSO</h2>
213 <p>
214       <span class="citerefentry"><span class="refentrytitle">dnssec-signzone</span>(8)</span>,
215       <em class="citetitle">BIND 9 Administrator Reference Manual</em>,
216       <em class="citetitle">RFC 2535</em>,
217       <em class="citetitle">RFC 2845</em>,
218       <em class="citetitle">RFC 2539</em>.
219     </p>
220 </div>
221 <div class="refsect1" lang="en">
222 <a name="id2550106"></a><h2>AUTHOR</h2>
223 <p>
224         <span class="corpauthor">Internet Systems Consortium</span>
225     </p>
226 </div>
227 </div></body>
228 </html>