名称

unbound-anchor - unbound アンカ (anchor) ユーティリティ

書式

unbound-anchor [ opts]

解説

unbound-anchor は、DNSSEC 検証のための root 信頼 (trust) アンカ (anchor) のセットアップまたは更新を実行します。それは、(root として) コマンド行から実行するか、または起動時のスクリプトの一部分として実行することができます。 unbound(8) DNS サーバを開始する前に。

推奨されている使用法は、次の通りです:

# init スクリプトで.
# (必要であるなら) root アンカを提供するか, または更新します
unbound-anchor -a "/var/unbound/root.key"
# この root アンカの使用法は, 利用者自身のリスクで,
# LICENSE の条件の下であることに注意してください (ソースを参照).
#
# 正当性リゾルバ (resolver) を開始する
# unbound.conf は, 次を含んでいます:
# auto-trust-anchor-file: "/var/unbound/root.key"
unbound -c unbound.conf

このツールは、root アンカと root 更新証明書ファイルのための組み込みのデフォルト内容を提供しています。

root アンカファイルが動作するかテストし、そうでなければ、更新は、可能で、 root 更新の証明書を使用して root アンカを更新することを試みます。 root-anchors.xml の https の取り込みを実行し、結果をチェックし、すべてのチェックが成功するなら、root アンカファイルを更新します。そうでなければ、root アンカファイルは、変更されません。 DNS によって利用可能な DNSSEC 情報がそれを可能にするなら、 RFC5011 トラッキングを実行します。

ネットワークがダウンしているか、または他のエラーが生じるなら、そして証明書の期限が切れているなら、更新を実行しません。

利用可能なオプションは、次の通りです:

-a file: root アンカキーファイル、すなわち、読み込まれ、書き込まれます。デフォルトは、/var/unbound/root.key です。ファイルが存在しないなら、または空であるなら、組み込みの root キーが、それに書き込まれます。

-c file: root 更新証明書ファイル、すなわち、読み込まれます。デフォルトは、/var/unbound/icannbundle.pem です。ファイルが存在しないなら、または空であるなら、組み込みの証明書が使用されます。

-l: 組み込みの root キーと組み込みの更新証明書を stdout (標準出力) にリストします。

-u name: サーバ名、それは、https://name に接続します。 https:// の接頭辞なしで指定します。デフォルトは、"data.iana.org"です。それは、-P で指定されたポートに接続します。必要であるなら、IPv4 アドレスまたは IPv6 アドレス (角括弧なし) で渡すことができます。

-x path: サーバの root-anchors.xml ファイルへのパス名。 (-u がある形式 URL)。デフォルトは、/root-anchors/root-anchors.xml です。

-s path: サーバの root-anchors.p7s ファイルへのパス名。 (-u がある形式 URL)。デフォルトは、/root-anchors/root-anchors.p7s です。このファイルは、信頼アンカとして pem ファイル (-c) を使用して、 xml ファイルの PKCS7 署名でなければなりません。

-n name: p7s 署名ファイルから署名者の証明書の主題のために電子メールアドレス。この名前からの署名のみが許可されます。デフォルトは、dnssec@iana.org です。利用者が ""を渡すなら、電子メールアドレスは、チェックされません。

-4: ドメインの解決と http のサーバと連絡をとるために IPv4 を使用します。デフォルトは、適切なところで IPv4 と IPv6 を使用することです。

-6: ドメインの解決と http のサーバと連絡をとるために IPv6 を使用します。デフォルトは、適切なところで IPv4 と IPv6 を使用することです。

-f resolv.conf: 与えられた resolv.conf ファイルを使用します。デフォルトで有効にされませんが、いくつかのシステムで /etc/resolv.conf を渡すことを試みるかもしれません。それは、使用する再帰的なネームサーバの IP アドレスを含んでいます。しかしながら、このツールは、まさに再帰的にネームサーバをブートストラップするために使用されるので、(それをブートストラップしているので、そのサーバがまだ動作していないので) 役に立ちません。それは、上流のキャッシュが配備されて (実行している) ことを知っている状況、と捕獲されたポータル (portal) 状況で役に立ちます。

-r root.hints: ドメイン解決をブートストラップするために与えられた root.hints ファイル (BIND と unbound の root のヒントファイルと同じ構文) を使用します。デフォルトで、組み込みの root ヒントのリストが、使用されます。 unbound-anchor は、サーバ (-u オプション) を解決し、root DNSKEY レコードをチェックするために、これらの root のためのネットワーク自体に行きます。それは、そうするので、再帰的なリゾルバ (resolver) をブートストラップのために使用されるときのツールは、そのサーバをブートストラップしているので、その再帰的なリゾルバ自体を使用することができません。

-v: より冗長にします。 1 度指定されると、情報メッセージを印刷 (表示) し、複数回指定されると、 (ダウンロードされたファイルの十分な証明書またはバイトダンプのような) 大きなデバッグの量を有効にします。デフォルトで、ほとんど何も印刷 (表示) しません。また、それは、デフォルトでエラーに何も印刷 (表示) しません。その場合、再帰的なサーバが、その直後に開始することができるように、オリジナルの root アンカファイルは、単に影響を受けないままとされます。

-C unbound.conf: 使用されるリゾルバプロセスに unbound.conf を読み込むオプションをデバッグします。

-P port: http 接続のための使用するポート番号を設定します。デフォルトは、443 です。

-F: xml ファイルをダウンロードし証明書でそれを検証することによって、 root アンカの更新を強制するオプションをデバッグします。デフォルトで、それは、より少ない帯域幅を使用する DNS と連絡をとることによって更新しようと最初に試み、より速く (2 秒ではなく、200 ミリ秒)、展開されたインフラストラクチャによりよいものです。このオプションで、それは、まだそうすることを試み (そして冗長に利用者に伝えて) ますが、次に、結果を無視して、xml フォールバック方法を使用し続けます。

-h: バージョンとコマンド行のオプションのヘルプを表示します。

終了コード

このツールは、root アンカが証明書を使用して更新されたなら、または組み込みの root アンカが使用されたなら、値 1 で終了します。更新が必要でなかったなら、更新が RFC5011 トラッキングで可能であったなら、またはエラーが生じたなら、コード 0 で終了します。

次のように終了値をチェックすることができます:
unbound-anchor -a "root.key" || logger "Please check root.key"
または、利用者の運用環境に、より適しているもの。

信頼 (trust)

このツールに含まれる root キーと更新された証明書は、利便性のためと、ライセンスの条件の下で (ソース配布または http://unbound.nlnetlabs.nl/svn/trunk/LICENSE の LICENSE ファイルを参照) 提供されます、そして利用者の目的に適しているか、いないかもしれません。

"unbound-anchor -l"を実行することによって、コードで設定されるキーと証明書は、利用者の利便性のために印刷 (表示) されます。

root-cert ファイルと rootkey ファイルを提供することによって、組み込みの設定を上書きすることができます。

YOS OPENSONAR

名称

書式

解説

終了コード

信頼 (trust)

関連ファイル

関連項目