Merge from vendor branch TEXINFO:
[dragonfly.git] / contrib / bind-9.2.4rc7 / bin / dnssec / dnssec-makekeyset.html
1 <!--
2  - Copyright (C) 2004  Internet Systems Consortium, Inc. ("ISC")
3  - Copyright (C) 2001, 2003  Internet Software Consortium.
4  -
5  - Permission to use, copy, modify, and distribute this software for any
6  - purpose with or without fee is hereby granted, provided that the above
7  - copyright notice and this permission notice appear in all copies.
8  -
9  - THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH
10  - REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY
11  - AND FITNESS.  IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT,
12  - INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM
13  - LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE
14  - OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR
15  - PERFORMANCE OF THIS SOFTWARE.
16 -->
17
18 <!-- $Id: dnssec-makekeyset.html,v 1.4.2.4 2004/06/03 05:21:11 marka Exp $ -->
19
20 <HTML
21 ><HEAD
22 ><TITLE
23 >dnssec-makekeyset</TITLE
24 ><META
25 NAME="GENERATOR"
26 CONTENT="Modular DocBook HTML Stylesheet Version 1.73
27 "></HEAD
28 ><BODY
29 CLASS="REFENTRY"
30 BGCOLOR="#FFFFFF"
31 TEXT="#000000"
32 LINK="#0000FF"
33 VLINK="#840084"
34 ALINK="#0000FF"
35 ><H1
36 ><A
37 NAME="AEN1"
38 ><SPAN
39 CLASS="APPLICATION"
40 >dnssec-makekeyset</SPAN
41 ></A
42 ></H1
43 ><DIV
44 CLASS="REFNAMEDIV"
45 ><A
46 NAME="AEN9"
47 ></A
48 ><H2
49 >Name</H2
50 ><SPAN
51 CLASS="APPLICATION"
52 >dnssec-makekeyset</SPAN
53 >&nbsp;--&nbsp;DNSSEC zone signing tool</DIV
54 ><DIV
55 CLASS="REFSYNOPSISDIV"
56 ><A
57 NAME="AEN13"
58 ></A
59 ><H2
60 >Synopsis</H2
61 ><P
62 ><B
63 CLASS="COMMAND"
64 >dnssec-makekeyset</B
65 >  [<TT
66 CLASS="OPTION"
67 >-a</TT
68 >] [<TT
69 CLASS="OPTION"
70 >-s <TT
71 CLASS="REPLACEABLE"
72 ><I
73 >start-time</I
74 ></TT
75 ></TT
76 >] [<TT
77 CLASS="OPTION"
78 >-e <TT
79 CLASS="REPLACEABLE"
80 ><I
81 >end-time</I
82 ></TT
83 ></TT
84 >] [<TT
85 CLASS="OPTION"
86 >-h</TT
87 >] [<TT
88 CLASS="OPTION"
89 >-p</TT
90 >] [<TT
91 CLASS="OPTION"
92 >-r <TT
93 CLASS="REPLACEABLE"
94 ><I
95 >randomdev</I
96 ></TT
97 ></TT
98 >] [<TT
99 CLASS="OPTION"
100 >-t</TT
101 ><TT
102 CLASS="REPLACEABLE"
103 ><I
104 >ttl</I
105 ></TT
106 >] [<TT
107 CLASS="OPTION"
108 >-v <TT
109 CLASS="REPLACEABLE"
110 ><I
111 >level</I
112 ></TT
113 ></TT
114 >] {key...}</P
115 ></DIV
116 ><DIV
117 CLASS="REFSECT1"
118 ><A
119 NAME="AEN38"
120 ></A
121 ><H2
122 >DESCRIPTION</H2
123 ><P
124 >        <B
125 CLASS="COMMAND"
126 >dnssec-makekeyset</B
127 > generates a key set from one
128         or more keys created by <B
129 CLASS="COMMAND"
130 >dnssec-keygen</B
131 >.  It creates
132         a file containing a KEY record for each key, and self-signs the key
133         set with each zone key.  The output file is of the form
134         <TT
135 CLASS="FILENAME"
136 >keyset-nnnn.</TT
137 >, where <TT
138 CLASS="FILENAME"
139 >nnnn</TT
140 >
141         is the zone name.
142     </P
143 ></DIV
144 ><DIV
145 CLASS="REFSECT1"
146 ><A
147 NAME="AEN45"
148 ></A
149 ><H2
150 >OPTIONS</H2
151 ><P
152 ></P
153 ><DIV
154 CLASS="VARIABLELIST"
155 ><DL
156 ><DT
157 >-a</DT
158 ><DD
159 ><P
160 >             Verify all generated signatures.
161           </P
162 ></DD
163 ><DT
164 >-s <TT
165 CLASS="REPLACEABLE"
166 ><I
167 >start-time</I
168 ></TT
169 ></DT
170 ><DD
171 ><P
172 >              Specify the date and time when the generated SIG records
173                become valid.  This can be either an absolute or relative
174                time.  An absolute start time is indicated by a number
175                in YYYYMMDDHHMMSS notation; 20000530144500 denotes
176                14:45:00 UTC on May 30th, 2000.  A relative start time is
177                indicated by +N, which is N seconds from the current time.
178                If no <TT
179 CLASS="OPTION"
180 >start-time</TT
181 > is specified, the current
182                time is used.
183           </P
184 ></DD
185 ><DT
186 >-e <TT
187 CLASS="REPLACEABLE"
188 ><I
189 >end-time</I
190 ></TT
191 ></DT
192 ><DD
193 ><P
194 >              Specify the date and time when the generated SIG records
195                expire.  As with <TT
196 CLASS="OPTION"
197 >start-time</TT
198 >, an absolute
199                time is indicated in YYYYMMDDHHMMSS notation.  A time relative
200                to the start time is indicated with +N, which is N seconds from
201                the start time.  A time relative to the current time is
202                indicated with now+N.  If no <TT
203 CLASS="OPTION"
204 >end-time</TT
205 > is
206                specified, 30 days from the start time is used as a default.
207           </P
208 ></DD
209 ><DT
210 >-h</DT
211 ><DD
212 ><P
213 >              Prints a short summary of the options and arguments to
214                <B
215 CLASS="COMMAND"
216 >dnssec-makekeyset</B
217 >.
218           </P
219 ></DD
220 ><DT
221 >-p</DT
222 ><DD
223 ><P
224 >              Use pseudo-random data when signing the zone.  This is faster,
225                but less secure, than using real random data.  This option
226                may be useful when signing large zones or when the entropy
227                source is limited.
228           </P
229 ></DD
230 ><DT
231 >-r <TT
232 CLASS="REPLACEABLE"
233 ><I
234 >randomdev</I
235 ></TT
236 ></DT
237 ><DD
238 ><P
239 >              Specifies the source of randomness.  If the operating
240                system does not provide a <TT
241 CLASS="FILENAME"
242 >/dev/random</TT
243 >
244                or equivalent device, the default source of randomness
245                is keyboard input.  <TT
246 CLASS="FILENAME"
247 >randomdev</TT
248 > specifies
249                the name of a character device or file containing random
250                data to be used instead of the default.  The special value
251                <TT
252 CLASS="FILENAME"
253 >keyboard</TT
254 > indicates that keyboard
255                input should be used.
256           </P
257 ></DD
258 ><DT
259 >-t <TT
260 CLASS="REPLACEABLE"
261 ><I
262 >ttl</I
263 ></TT
264 ></DT
265 ><DD
266 ><P
267 >              Specify the TTL (time to live) of the KEY and SIG records.
268                The default is 3600 seconds.
269           </P
270 ></DD
271 ><DT
272 >-v <TT
273 CLASS="REPLACEABLE"
274 ><I
275 >level</I
276 ></TT
277 ></DT
278 ><DD
279 ><P
280 >              Sets the debugging level.
281           </P
282 ></DD
283 ><DT
284 >key</DT
285 ><DD
286 ><P
287 >              The list of keys to be included in the keyset file.  These keys
288                are expressed in the form <TT
289 CLASS="FILENAME"
290 >Knnnn.+aaa+iiiii</TT
291 >
292                as generated by <B
293 CLASS="COMMAND"
294 >dnssec-keygen</B
295 >.
296           </P
297 ></DD
298 ></DL
299 ></DIV
300 ></DIV
301 ><DIV
302 CLASS="REFSECT1"
303 ><A
304 NAME="AEN98"
305 ></A
306 ><H2
307 >EXAMPLE</H2
308 ><P
309 >        The following command generates a keyset containing the DSA key for
310         <TT
311 CLASS="USERINPUT"
312 ><B
313 >example.com</B
314 ></TT
315 > generated in the
316         <B
317 CLASS="COMMAND"
318 >dnssec-keygen</B
319 > man page.
320     </P
321 ><P
322 >        <TT
323 CLASS="USERINPUT"
324 ><B
325 >dnssec-makekeyset -t 86400 -s 20000701120000 -e +2592000 Kexample.com.+003+26160</B
326 ></TT
327 >
328     </P
329 ><P
330 >        In this example, <B
331 CLASS="COMMAND"
332 >dnssec-makekeyset</B
333 > creates
334         the file <TT
335 CLASS="FILENAME"
336 >keyset-example.com.</TT
337 >.  This file
338         contains the specified key and a self-generated signature.
339     </P
340 ><P
341 >        The DNS administrator for <TT
342 CLASS="USERINPUT"
343 ><B
344 >example.com</B
345 ></TT
346 > could
347         send <TT
348 CLASS="FILENAME"
349 >keyset-example.com.</TT
350 > to the DNS
351         administrator for <TT
352 CLASS="USERINPUT"
353 ><B
354 >.com</B
355 ></TT
356 > for signing, if the
357         .com zone is DNSSEC-aware and the administrators of the two zones
358         have some mechanism for authenticating each other and exchanging
359         the keys and signatures securely.
360     </P
361 ></DIV
362 ><DIV
363 CLASS="REFSECT1"
364 ><A
365 NAME="AEN112"
366 ></A
367 ><H2
368 >SEE ALSO</H2
369 ><P
370 >      <SPAN
371 CLASS="CITEREFENTRY"
372 ><SPAN
373 CLASS="REFENTRYTITLE"
374 >dnssec-keygen</SPAN
375 >(8)</SPAN
376 >,
377       <SPAN
378 CLASS="CITEREFENTRY"
379 ><SPAN
380 CLASS="REFENTRYTITLE"
381 >dnssec-signkey</SPAN
382 >(8)</SPAN
383 >,
384       <I
385 CLASS="CITETITLE"
386 >BIND 9 Administrator Reference Manual</I
387 >,
388       <I
389 CLASS="CITETITLE"
390 >RFC 2535</I
391 >.
392     </P
393 ></DIV
394 ><DIV
395 CLASS="REFSECT1"
396 ><A
397 NAME="AEN123"
398 ></A
399 ><H2
400 >AUTHOR</H2
401 ><P
402 >        Internet Systems Consortium
403     </P
404 ></DIV
405 ></BODY
406 ></HTML
407 >