Когда я использую dnssec-signzone для подписи файла зоны, это очень и очень медленно, это займет 30 минут или больше. ZSK и KSK используют алгоритм: 14 (ECDSAP384SHA384). Я пробовал обновить openssl до 1.1.0 и связать 9.14 и 9.11 и более, та же ситуация. Я не знаю, почему и как это исправить.
--- команда:
# /var/bind9/sbin/dnssec-signzone -A -u -v 3 -3 $(head -c 1000 /dev/urandom | sha1sum | cut -b 1-16) -N INCREMENT -o xxx.com -K /var/bind9/etc/keys/ xxx.com
b2fd5fd1d310afc2a2e43888daf18af1e0c2e1be xxx.com
adding no-wildcardhash for *.xxx.com
796d546206c69735d321793d079e6d71ff8bf961 *.xxx.com
2813d1dff9c18e193334a3cccf505711e94dcb00 dns1.xxx.com
adding no-wildcardhash for *.dns1.xxx.com
0eb81ce6e8279a269bd55ffc6b331af2e7229105 *.dns1.xxx.com
0f6bcec4527bca6cf3f755cf81cfb05260dac6bb www.xxx.com
adding no-wildcardhash for *.www.xxx.com
c3a2b0cff3642b1e4e52fc9710437bc385d4319f *.www.xxx.com
dnssec-signzone: debug 1: delete_node(): 0x7f5d6ef2a0f0 xxx.com (bucket 5)
dnssec-signzone: debug 1: calling free_rbtdb(.)
dnssec-signzone: debug 1: done free_rbtdb(.)
dnssec-signzone: no existing signatures for xxx.com/NSEC3PARAM
dnssec-signzone: xxx.com/NSEC3PARAM:
dnssec-signzone: signing with dnskey xxx.com/ECDSAP384SHA384/3279
^ - висеть здесь долго-долго
---- env:
Linux myhost 3.0-ARCH # 1 SMP PREEMPT среда, 17 августа 21:55:57 CEST 2011 x86_64 Intel (R) Core (TM) i7-8550U CPU @ 1,80 ГГц GenuineIntel GNU / Linux
linux-vdso.so.1 => (0x00007fffc9cd5000)
libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00007f09b54c0000)
libcrypto.so.1.0.0 => /usr/lib/libcrypto.so.1.0.0 (0x00007f09b510b000)
libdl.so.2 => /lib/libdl.so.2 (0x00007f09b4f07000)
libcap.so.2 => /lib/libcap.so.2 (0x00007f09b4d03000)
libpthread.so.0 => /lib/libpthread.so.0 (0x00007f09b4ae6000)
libxml2.so.2 => /usr/lib/libxml2.so.2 (0x00007f09b4793000)
libz.so.1 => /usr/lib/libz.so.1 (0x00007f09b457b000)
libm.so.6 => /lib/libm.so.6 (0x00007f09b42f9000)
libc.so.6 => /lib/libc.so.6 (0x00007f09b3f98000)
libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00007f09b3cbc000)
libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x00007f09b3a92000)
libcom_err.so.2 => /lib/libcom_err.so.2 (0x00007f09b388f000)
libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x00007f09b3687000)
libkeyutils.so.1 => /lib/libkeyutils.so.1 (0x00007f09b3484000)
libresolv.so.2 => /lib/libresolv.so.2 (0x00007f09b326d000)
/lib/ld-linux-x86-64.so.2 (0x00007f09b5700000)
libattr.so.1 => /lib/libattr.so.1 (0x00007f09b3069000)
OpenSSL 1.0.0e 6 сентября 2011 г.
dnssec-signzone 9.9.12