amn-3-frames.gif
Добро пожаловать, Гость
Форум
UNIX-like
Общее
dnssec-keygen very long generating key pair

ТЕМА: dnssec-keygen very long generating key pair

dnssec-keygen very long generating key pair 08 март 2016 10:17 #164

  • Арсений Яковлевич
  • Арсений Яковлевич аватар
  • Не в сети
dnssec-keygen жутко долго создавала ZSK (zone-signing key) и KSK (key-signing key):
# dnssec-keygen -a RSASHA1 -b 2048 -n ZONE example.com
Generating key pair.....................
# dnssec-keygen -a RSASHA1 -b 2048 -f KSK -n ZONE example.com
Generating key pair......................
на всё про всё ушло 12 часов. Всё из-за нехватки энтропии, похожая проблема была как-то при удалённом создании GPG пары ключей через SSH. Решается так:
# yum -y install rng-tools
или
# apt-get install rng-tools
после установки, в отдельном окне, незакрывая окно в котором запущена команда "dnssec-keygen ..." или "gpg --gen-key" выполнить "rngd -f -r /dev/urandom". Сколько энтропии на данный момент есть в наличии можно проверить выполнив:
# cat /proc/sys/kernel/random/entropy_avail
Чуть подправить конфиг сервиса:
#vi /etc/default/rng-tools

# Configuration for the rng-tools initscript
# $Id: rng-tools.default,v 1.1.2.5 2008-06-10 19:51:37 hmh Exp $

# This is a POSIX shell fragment

# Set to the input source for random data, leave undefined
# for the initscript to attempt auto-detection.  Set to /dev/null
# for the viapadlock driver.
#HRNGDEVICE=/dev/hwrng
#HRNGDEVICE=/dev/null
HRNGDEVICE=/dev/urandom

# Additional options to send to rngd. See the rngd(8) manpage for
# more information.  Do not specify -r/--rng-device here, use
# HRNGDEVICE for that instead.
#RNGDOPTIONS="--hrng=intelfwh --fill-watermark=90% --feed-interval=1"
#RNGDOPTIONS="--hrng=viakernel --fill-watermark=90% --feed-interval=1"
#RNGDOPTIONS="--hrng=viapadlock --fill-watermark=90% --feed-interval=1"
И запустить:
# systemctl status rng-tools
# systemctl enable rng-tools
# systemctl start rng-tools
or
/etc/init.d/rng-tools start
Администратор запретил публиковать записи гостям.

dnssec-keygen very long generating key pair 24 март 2016 18:15 #171

  • Олегатор
  • Олегатор аватар
  • Не в сети
В CentOS может быть проблема с запуском сервиса:
# service rngd start
Unable to open file: /dev/tpm0
can't open any entropy source
Maybe RNG device modules are not loaded

# rngd -v
Unable to open file: /dev/tpm0
can't open any entropy source
Maybe RNG device modules are not loaded
Подправим /etc/sysconfig/rngd, запустим сервис и добавим его в автозагрузку:
# vi /etc/sysconfig/rngd
# Add extra options here
EXTRAOPTIONS="-r /dev/urandom"

# service rngd start
# chkconfig rngd on
Юрист, программист, спортсмен, бизнесмен и просто красавец. Никто не обидит меня безнаказанно.
Администратор запретил публиковать записи гостям.
Форум
UNIX-like
Общее
dnssec-keygen very long generating key pair
Новое в блоге
Комментарии в блоге