# 8.2p1

How to verify host keys using OpenSSH and DNS
---------------------------------------------

OpenSSHとDNSを使ってホスト鍵を検証する方法

OpenSSH contains support for verifying host keys using DNS as described
in https://tools.ietf.org/html/rfc4255. The document contains very brief
instructions on how to use this feature. Configuring DNS is out of the
scope of this document.

OpenSSHは, https://tools.ietf.org/html/rfc4255 に記述されている,
DNSを利用したホスト鍵の検証のサポートをしている. このドキュメントは
この特徴を試し方の非常に簡単な説明だ. DNSの設定はこの文書の
範囲外である.

(1) Server: Generate and publish the DNS RR

    Server: DNS RRを生成し公表する

To create a DNS resource record (RR) containing a fingerprint of the
public host key, use the following command:

ホスト公開鍵の指紋を含むDNS リソースレコード(RR)を生成するため, 
以下のコマンドを使用せよ.

	ssh-keygen -r hostname -f keyfile -g

where "hostname" is your fully qualified hostname and "keyfile" is the
file containing the public host key file. If you have multiple keys,
you should generate one RR for each key.

ここで, "hostname"は ホストのFQDN, "keyfile"は ホスト公開鍵を含む
ファイルだ. 複数の鍵があるなら, それぞれの鍵に対して一つずつRRを
作る必要がある.

In the example above, ssh-keygen will print the fingerprint in a
generic DNS RR format parsable by most modern name server
implementations. If your nameserver has support for the SSHFP RR
you can omit the -g flag and ssh-keygen will print a standard SSHFP RR.

上の例では, ssh-keygen はいまどきのたいがいのネームサーバの実装が
パースできる一般的なDNS RRフォーマットで指紋を表示する. draftで
定義されている SSHFP RRを ネームサーバがサポートしているなら, 
-g フラグを省略することで, ssh-keygen は標準のRRを表示する.

To publish the fingerprint using the DNS you must add the generated RR
to your DNS zone file and sign your zone.

DNSを使って指紋を公表するために, 生成されたRRをDNSゾーンファイルに追加し
ゾーンに署名しなければならない.

(2) Client: Enable ssh to verify host keys using DNS

    Client: DNSを使ってホスト鍵をsshが検証できるようにする

To enable the ssh client to verify host keys using DNS, you have to
add the following option to the ssh configuration file
($HOME/.ssh/config or /etc/ssh/ssh_config):

sshクライアントがDNSを使ってホスト鍵を検証できるようにするためには,
sshの設定ファイル, ($HOME/.ssh/config or /etc/ssh/ssh_config), に
以下のオプションを追加しなければならない.

    VerifyHostKeyDNS yes

Upon connection the client will try to look up the fingerprint RR
using DNS. If the fingerprint received from the DNS server matches
the remote host key, the user will be notified.

クライアントは, 接続の際, DNSを使って指紋RRを検査しようとする.
もしDNSサーバから受けとった指紋がリモートホストの鍵と一致したら,
ユーザに通知される.

	Jakob Schlyter
	Wesley Griffin