contrib/bind-9.3/bin/dnssec/dnssec-signzone.8

   1 .\" Copyright (C) 2004, 2005 Internet Systems Consortium, Inc. ("ISC")
   2 .\" Copyright (C) 2000-2003 Internet Software Consortium.
   3 .\"
   4 .\" Permission to use, copy, modify, and distribute this software for any
   5 .\" purpose with or without fee is hereby granted, provided that the above
   6 .\" copyright notice and this permission notice appear in all copies.
   7 .\"
   8 .\" THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH
   9 .\" REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY
  10 .\" AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT,
  11 .\" INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM
  12 .\" LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE
  13 .\" OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR
  14 .\" PERFORMANCE OF THIS SOFTWARE.
  15 .\"
  16 .\" $Id: dnssec-signzone.8,v 1.23.2.1.4.11 2006/06/29 13:02:30 marka Exp $
  17 .\"
  18 .hy 0
  19 .ad l
  20 .\"     Title: dnssec\-signzone
  21 .\"    Author:
  22 .\" Generator: DocBook XSL Stylesheets v1.70.1 <http://docbook.sf.net/>
  23 .\"      Date: June 30, 2000
  24 .\"    Manual: BIND9
  25 .\"    Source: BIND9
  26 .\"
  27 .TH "DNSSEC\-SIGNZONE" "8" "June 30, 2000" "BIND9" "BIND9"
  28 .\" disable hyphenation
  29 .nh
  30 .\" disable justification (adjust text to left margin only)
  31 .ad l
  32 .SH "NAME"
  33 dnssec\-signzone \- DNSSEC zone signing tool
  34 .SH "SYNOPSIS"
  35 .HP 16
  36 \fBdnssec\-signzone\fR [\fB\-a\fR] [\fB\-c\ \fR\fB\fIclass\fR\fR] [\fB\-d\ \fR\fB\fIdirectory\fR\fR] [\fB\-e\ \fR\fB\fIend\-time\fR\fR] [\fB\-f\ \fR\fB\fIoutput\-file\fR\fR] [\fB\-g\fR] [\fB\-h\fR] [\fB\-k\ \fR\fB\fIkey\fR\fR] [\fB\-l\ \fR\fB\fIdomain\fR\fR] [\fB\-i\ \fR\fB\fIinterval\fR\fR] [\fB\-n\ \fR\fB\fInthreads\fR\fR] [\fB\-o\ \fR\fB\fIorigin\fR\fR] [\fB\-p\fR] [\fB\-r\ \fR\fB\fIrandomdev\fR\fR] [\fB\-s\ \fR\fB\fIstart\-time\fR\fR] [\fB\-t\fR] [\fB\-v\ \fR\fB\fIlevel\fR\fR] [\fB\-z\fR] {zonefile} [key...]
  37 .SH "DESCRIPTION"
  38 .PP
  39 \fBdnssec\-signzone\fR
  40 signs a zone. It generates NSEC and RRSIG records and produces a signed version of the zone. The security status of delegations from the signed zone (that is, whether the child zones are secure or not) is determined by the presence or absence of a
  41 \fIkeyset\fR
  42 file for each child zone.
  43 .SH "OPTIONS"
  44 .TP 3n
  45 \-a
  46 Verify all generated signatures.
  47 .TP 3n
  48 \-c \fIclass\fR
  49 Specifies the DNS class of the zone.
  50 .TP 3n
  51 \-k \fIkey\fR
  52 Treat specified key as a key signing key ignoring any key flags. This option may be specified multiple times.
  53 .TP 3n
  54 \-l \fIdomain\fR
  55 Generate a DLV set in addition to the key (DNSKEY) and DS sets. The domain is appended to the name of the records.
  56 .TP 3n
  57 \-d \fIdirectory\fR
  58 Look for
  59 \fIkeyset\fR
  60 files in
  61 \fBdirectory\fR
  62 as the directory
  63 .TP 3n
  64 \-g
  65 Generate DS records for child zones from keyset files. Existing DS records will be removed.
  66 .TP 3n
  67 \-s \fIstart\-time\fR
  68 Specify the date and time when the generated RRSIG records become valid. This can be either an absolute or relative time. An absolute start time is indicated by a number in YYYYMMDDHHMMSS notation; 20000530144500 denotes 14:45:00 UTC on May 30th, 2000. A relative start time is indicated by +N, which is N seconds from the current time. If no
  69 \fBstart\-time\fR
  70 is specified, the current time minus 1 hour (to allow for clock skew) is used.
  71 .TP 3n
  72 \-e \fIend\-time\fR
  73 Specify the date and time when the generated RRSIG records expire. As with
  74 \fBstart\-time\fR, an absolute time is indicated in YYYYMMDDHHMMSS notation. A time relative to the start time is indicated with +N, which is N seconds from the start time. A time relative to the current time is indicated with now+N. If no
  75 \fBend\-time\fR
  76 is specified, 30 days from the start time is used as a default.
  77 .TP 3n
  78 \-f \fIoutput\-file\fR
  79 The name of the output file containing the signed zone. The default is to append
  80 \fI.signed\fR
  81 to the input file.
  82 .TP 3n
  83 \-h
  84 Prints a short summary of the options and arguments to
  85 \fBdnssec\-signzone\fR.
  86 .TP 3n
  87 \-i \fIinterval\fR
  88 When a previously signed zone is passed as input, records may be resigned. The
  89 \fBinterval\fR
  90 option specifies the cycle interval as an offset from the current time (in seconds). If a RRSIG record expires after the cycle interval, it is retained. Otherwise, it is considered to be expiring soon, and it will be replaced.
  91 .sp
  92 The default cycle interval is one quarter of the difference between the signature end and start times. So if neither
  93 \fBend\-time\fR
  94 or
  95 \fBstart\-time\fR
  96 are specified,
  97 \fBdnssec\-signzone\fR
  98 generates signatures that are valid for 30 days, with a cycle interval of 7.5 days. Therefore, if any existing RRSIG records are due to expire in less than 7.5 days, they would be replaced.
  99 .TP 3n
 100 \-n \fIncpus\fR
 101 Specifies the number of threads to use. By default, one thread is started for each detected CPU.
 102 .TP 3n
 103 \-o \fIorigin\fR
 104 The zone origin. If not specified, the name of the zone file is assumed to be the origin.
 105 .TP 3n
 106 \-p
 107 Use pseudo\-random data when signing the zone. This is faster, but less secure, than using real random data. This option may be useful when signing large zones or when the entropy source is limited.
 108 .TP 3n
 109 \-r \fIrandomdev\fR
 110 Specifies the source of randomness. If the operating system does not provide a
 111 \fI/dev/random\fR
 112 or equivalent device, the default source of randomness is keyboard input.
 113 \fIrandomdev\fR
 114 specifies the name of a character device or file containing random data to be used instead of the default. The special value
 115 \fIkeyboard\fR
 116 indicates that keyboard input should be used.
 117 .TP 3n
 118 \-t
 119 Print statistics at completion.
 120 .TP 3n
 121 \-v \fIlevel\fR
 122 Sets the debugging level.
 123 .TP 3n
 124 \-z
 125 Ignore KSK flag on key when determining what to sign.
 126 .TP 3n
 127 zonefile
 128 The file containing the zone to be signed.
 129 .TP 3n
 130 key
 131 The keys used to sign the zone. If no keys are specified, the default all zone keys that have private key files in the current directory.
 132 .SH "EXAMPLE"
 133 .PP
 134 The following command signs the
 135 \fBexample.com\fR
 136 zone with the DSA key generated in the
 137 \fBdnssec\-keygen\fR
 138 man page. The zone's keys must be in the zone. If there are
 139 \fIkeyset\fR
 140 files associated with child zones, they must be in the current directory.
 141 \fBexample.com\fR, the following command would be issued:
 142 .PP
 143 \fBdnssec\-signzone \-o example.com db.example.com Kexample.com.+003+26160\fR
 144 .PP
 145 The command would print a string of the form:
 146 .PP
 147 In this example,
 148 \fBdnssec\-signzone\fR
 149 creates the file
 150 \fIdb.example.com.signed\fR. This file should be referenced in a zone statement in a
 151 \fInamed.conf\fR
 152 file.
 153 .SH "SEE ALSO"
 154 .PP
 155 \fBdnssec\-keygen\fR(8),
 156 BIND 9 Administrator Reference Manual,
 157 RFC 2535.
 158 .SH "AUTHOR"
 159 .PP
 160 Internet Systems Consortium
 161 .SH "COPYRIGHT"
 162 Copyright \(co 2004, 2005 Internet Systems Consortium, Inc. ("ISC")