linux - dnssec-dsfromkey 显示未知算法错误-6ren

linux - dnssec-dsfromkey 显示未知算法错误

转载作者：塔克拉玛干更新时间：2023-11-03 00:34:19

26

4

dsfromkey 命令生成具有以下摘要类型 DSA/SHA1、RSA/SHA-1、DSA-NSEC3-SHA1、RSA/SHA-512、GOST R 34.10-2001 等的 ds 记录

我正在使用以下命令

dnssec-dsfromkey -a keyfile

例如:

dnssec-dsfromkey -a GOST keyfile

但它显示

dnssec-dsfromkey: fatal: 未知算法 GOST

我使用的绑定(bind)版本是 BIND 9.9.4-RedHat-9.9.4-61.el7_5.1

任何帮助将不胜感激。

最佳答案

文档似乎具有误导性。

从其 git 存储库中查看 bind9 源代码，您可以看到 dnssec-dsfromkey 中的 -a 选项由函数 strtodsdigest 处理> 它足够短，可以在下面复制，正如你所看到的，里面没有 GOST 的痕迹，所以你(或任何其他有这些来源的人)都没有 GOST!

unsigned int
strtodsdigest(const char *algname) {
        if (strcasecmp(algname, "SHA1") == 0 ||
            strcasecmp(algname, "SHA-1") == 0)
        {
                return (DNS_DSDIGEST_SHA1);
        } else if (strcasecmp(algname, "SHA256") == 0 ||
                   strcasecmp(algname, "SHA-256") == 0)
        {
                return (DNS_DSDIGEST_SHA256);
        } else if (strcasecmp(algname, "SHA384") == 0 ||
                   strcasecmp(algname, "SHA-384") == 0)
        {
                return (DNS_DSDIGEST_SHA384);
        } else {
                fatal("unknown algorithm %s", algname);
        }
}

正在研究变化https://gitlab.isc.org/isc-projects/bind9/commit/27593e65dc4f1565bb45d91eb561a504da627c41 3 个月前发布，您可以看到 GOST 已完全删除，特别是在 https://gitlab.isc.org/isc-projects/bind9/commit/27593e65dc4f1565bb45d91eb561a504da627c41#18b3c86fc6dac451f69355fe2f743d98b043255a上面的代码之前有:

#if defined(HAVE_OPENSSL_GOST) || defined(HAVE_PKCS11_GOST)

    } else if (strcasecmp(algname, "GOST") == 0) {

        return (DNS_DSDIGEST_GOST);

#endif

这意味着您对 GOST 支持的 bind 取决于它的编译方式以及关联的 openssl/pkcs11 库是否支持 GOST。

我猜你的特定 RedHat 包是在没有 GOST 支持的情况下编译的。

因此您将需要找到另一个包或使用适当的标志自行编译它(--enable-gost 在configure 时)，但不是最新的源代码因为正如我上面所说的，GOST 现已完全删除。

参见 https://kb.isc.org/article/AA-01636/0/BIND-9.13.2-Release-Notes.html上面写着:

Support for ECC-GOST (GOST R 34.11-94) algorithm has been removed from BIND as the algorithm has been superseded by GOST R 34.11-2012 in RFC6986 and it must not be used in new deployments. BIND will neither create new DNSSEC keys, signatures and digest, nor it will validate them.

这引发了一个问题:您真的需要支持 GOST 还是可以切换到另一种算法？

关于linux - dnssec-dsfromkey 显示未知算法错误，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/52112248/

26

4

0

文章推荐： c++ - 在一种情况下调用构造函数的顺序 C++

文章推荐： C++ 组合参数模板元编程

文章推荐： android - 如何在android中使自定义 View 透明

linux - dnssec-dsfromkey 显示未知算法错误
dsfromkey 命令生成具有以下摘要类型 DSA/SHA1、RSA/SHA-1、DSA-NSEC3-SHA1、RSA/SHA-512、GOST R 34.10-2001 等的 ds 记录我正在使

首页

博学

6Ren·AI

商城

linux - dnssec-dsfromkey 显示未知算法错误