certbot 플러그인 "certbot-dns-rfc2136"에 대한 TSIG 키를 생성하는 방법

certbot 플러그인 "certbot-dns-rfc2136"에 대한 TSIG 키를 생성하는 방법

와일드카드 인증서에 대해 BIND9를 구성하고 있습니다.암호화하자. 다음을 기반으로 TSIG 키를 생성하려고 하면여기에 설명, 다음 오류가 발생합니다.

# dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST keyname.
dnssec-keygen: fatal: unknown algorithm HMAC-SHA512

그런 다음 도움말을 읽고문서에 대해서는 dnssec-keygen알고리즘이 없습니다.HMAC-SHA512물론:

# dnssec-keygen -h
Usage:
    dnssec-keygen [options] name

Version: 9.14.2
    name: owner of the key
Options:
    -K <directory>: write keys into directory
    -a <algorithm>:
        RSASHA1 | NSEC3RSASHA1 |
        RSASHA256 | RSASHA512 |
        ECDSAP256SHA256 | ECDSAP384SHA384 |
        ED25519 | ED448 | DH
    -3: use NSEC3-capable algorithm
    -b <key size in bits>:
        RSASHA1:        [1024..4096]
        NSEC3RSASHA1:   [1024..4096]
        RSASHA256:      [1024..4096]
        RSASHA512:      [1024..4096]
        DH:             [128..4096]
        ECDSAP256SHA256:        ignored
        ECDSAP384SHA384:        ignored
        ED25519:        ignored
        ED448:  ignored
        (key size defaults are set according to
        algorithm and usage (ZSK or KSK)
    -n <nametype>: ZONE | HOST | ENTITY | USER | OTHER
        (DNSKEY generation defaults to ZONE)
    -c <class>: (default: IN)
    -d <digest bits> (0 => max, default)
    -E <engine>:
        name of an OpenSSL engine to use
    -f <keyflag>: KSK | REVOKE
    -g <generator>: use specified generator (DH only)
    -L <ttl>: default key TTL
    -p <protocol>: (default: 3 [dnssec])
    -s <strength>: strength value this key signs DNS records with (default: 0)
    -T <rrtype>: DNSKEY | KEY (default: DNSKEY; use KEY for SIG(0))
    -t <type>: AUTHCONF | NOAUTHCONF | NOAUTH | NOCONF (default: AUTHCONF)
    -h: print usage and exit
    -m <memory debugging mode>:
       usage | trace | record | size | mctx
    -v <level>: set verbosity level (0 - 10)
    -V: print version information
Timing options:
    -P date/[+-]offset/none: set key publication date (default: now)
    -P sync date/[+-]offset/none: set CDS and CDNSKEY publication date
    -A date/[+-]offset/none: set key activation date (default: now)
    -R date/[+-]offset/none: set key revocation date
    -I date/[+-]offset/none: set key inactivation date
    -D date/[+-]offset/none: set key deletion date
    -D sync date/[+-]offset/none: set CDS and CDNSKEY deletion date
    -G: generate key only; do not set -P or -A
    -C: generate a backward-compatible key, omitting all dates
    -S <key>: generate a successor to an existing key
    -i <interval>: prepublication interval for successor key (default: 30 days)
Output:
     K<name>+<alg>+<id>.key, K<name>+<alg>+<id>.private

나는 더 깊이 탐구한다.또 다른 문제:dnssec-keygen을 통해 키를 생성할 수 없습니다., 하지만 내 문제는 아직 해결되지 않았습니다.

어떻게 해야 합니까?

답변1

검색을 해보니 플러그인에 대한 문서가 다음과 같은 것으로 나타났습니다 certbot-dns-rfc2136.쓸모없는!

BIND9의 공식 git 저장소에서 다음을 발견했습니다.메시지 제출:

  1. [func] dnssec-keygen을 사용하여 HMAC 키를 생성하는 것은 더 이상 사용되지 않으며 tsig-keygen을 선호합니다. dnssec-keygen은 이 목적으로 사용될 때 경고를 인쇄합니다. 향후 릴리스에서는 모든 HMAC 알고리즘이 dnssec-keygen에서 제거됩니다. [RT#42272]

따라서 최종 해결책은 다음과 같습니다.

tsig-keygen -a hmac-sha512 tsig-key > /etc/bind/tsig.key

관련 정보