ドメイン名のみを入力して実行すると、Centosでのdnssec-keygenの動作が非常に遅くなります
このISCBIND記事の例から:
https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.html
$ dnssec-keygen example.com
Generating key pair........................+++++
...............++++++
Kexample.com.+005+17262
$ dnssec-keygen -fk example.com
Generating key pair.....................................+++++
........................................................+++
Kexample.com.+005+44139
Centos 5(x64)で試してみたところ、dnssec-keygenの動作が非常に遅いことがわかりました。
別のオプション引数を追加すると、すぐに機能します。
例:
dnssec-keygen -r random.data example.com
WindowsOSでは発生しません。
デバッグしようとした後、私はそれが周りに固執しているのを見る
RSA_generate_key_ex(rsa, key->key_size, e, &cb))
の中に
lib\dns\opensslrsa_link.c
ISCにメールを送信しようとしましたが、返信がありません。
あなたはなにか考えはありますか?
これはおそらくエントロピーの欠如であり、特に仮想化されたシステムやほとんどアイドル状態のシステムでは珍しいことではありません。
コードをチェックしないと、適切なキーを生成するために必要なランダム入力が/ dev/randomから取得される可能性があります。これは、エントロピー(ランダム性)が不十分な場合にブロックするという点で、IIRCは/ dev/urandomとは異なります。 /proc/sys/kernel/random/entropy_availで利用可能なビット数を確認できます。
割り込みを生成する(キーボードを押す、マウスで遊ぶ、find /を実行する、新しいカーネルをコンパイルするなど)、ハードウェア乱数ジェネレーターを入手する、またはセキュリティ要件がそれほど高くない場合は、エントロピーの量を増やすことができます。 rngd-toolsを高インストールし、回避策として/ dev/urandomを使用して、疑似エントロピーの量を増やします:rngd -r /dev/urandom -o /dev/random -b。