Hallo,

ich versuche auf dem Nameserver die Zonensignierung durchzuführen. Allerdings bekomme ich den BIND nicht kompiliert, dass er den Crypto-Support hat:

dnssec-keygen: failed to generate key example.net/RSASHA1: built with no crypto support

Hat einer seinen Bind schon auf DNSSec umgestellt ?

Gruß und Dank,

BIHOB

Version, Distri und komplette configure-Zeile?

Bind 9.6.1 auf einem SuSE 11.1.
Installation versuche ich mit: ./configure --sbindir=/usr/sbin/ zu starten.
Ansonsten läuft das System so.

Fehlt evtl. ne SSL Biblio ?

ein wenig google findet z.B. http://www.linuxjournal.com/article/6541 - ich denke mal, am Prinzip sollte sich trotz etwas anderer Version nichts geändert haben...

Although IPv6 support is native to BIND, it must be
specified explicitly when compiling. In addition, because we want to support DNSSEC,
we need to compile BIND with crypto support. OpenSSL 0.9.5a or newer
should be installed. Running the configuration script with the needed
options looks like:


% ./configure -enable-ipv6 -with-openssl

IPv6 ist Defaultmäßig mit dabei. Das SSL Paket findet er auch im Configure:

./configure --sbindir=/usr/sbin/ --with-openssl=/usr/ -enable-ipv6

... und was ist die Rückmeldung dieser Zeile? Devel-Pakete installiert?

http://www.linux-club.de/viewtopic.php?f=51&t=107977&start=0

http://www.linux-forum.de/suse-11-1-dns-sec-f-r-bind-9-a-33875.html

Und das ist jetzt verwerflich, dass man auch mal woanders anfragt ?

checking for OpenSSL library... using OpenSSL from /usr//lib and /usr//include
checking whether linking with OpenSSL works... yes
checking whether linking with OpenSSL requires -ldl... no
checking OpenSSL library version... ok
checking for OpenSSL DSA support... yes
checking for PKCS11 support... disabled

Kann es was mit dem PKCS11 zu tun haben ?

Und das ist jetzt verwerflich, dass man auch mal woanders anfragt ?
Nichts. Hat ja auch keiner behauptet. Es wäre nur nett gewesen, gleich von sich aus darauf hinzuweisen - und da Du das nicht getan hast, haben wir eben die fehlenden Links auf die anderen Threads eingefügt.

Hm, lt. Doku sollte es das eigentlich gewesen sein - es geht nach dem make, ... immer noch nicht? Fehlermeldung immer noch die gleiche?

(bevor ich mir hier nun die Version ziehe und mal selbst einen Build anwerfe...)

Der Bind ansich läuft ja, ich versuche anschließend den Sec-Code für die Domain zu generieren:

dnssec-keygen -r/dev/random -a RSASHA1 -b 1024 -n ZONE example.net

dnssec-keygen: failed to generate key example.net/RSASHA1: built with no crypto support

Arbeite mich erst so langsam in das DNS-Sec-Thema rein und vermute, dass er dort evtl. irgendwelche Pakete vermisst, damit er den Sec mit kompiliert.

Danke schonmal.

dass wir uns nicht falsch verstehen: Du hast einen laufenden Bind und willst dann mit ./configure... DNSSec dazubauen? Oder willst Du einen Bind komplett neu bauen mit Support?

Ist der laufenden Bind auch selbst gebaut? Make, make install hast Du gemacht und den Bind hinterher neu gestartet?

Richtig genau: Der jetzige Bind ist auch selber zusammengebaut und ich möchte den jetzt neukompilieren mit DNSSec-Support für Zonensignierung (DeNIC-Test läuft ja bereits).
Scheinbar geht das nicht automatisch, wie es mit IPv6 (was inzwischen automatisch implemtiert ist) ...?

hm, konkret hier gerade nachgestellt:

938 wget ftp://ftp.isc.org/isc/bind9/9.6.1-P3/bind-9.6.1-P3.tar.gz
939 tar -xzf bind-9.6.1-P3.tar.gz
940 ./configure --help
953 ./configure --prefix=/usr/local/bind --with-openssl
954 make
955 make install
956 cd /usr/local/bind
962 cd sbin/
967 ./dnssec-keygen -r /root/tmp/bind-9.6.1-P3.tar.gz -a RSASHA1 -b 1024 -n ZONE example.net
Kexample.net.+005+48615

geht also problemlos.

schau mal nach, ob auch dnsec-keygen ein aktuelles Datum hat (also 100% neu gebaut wurde...) - evtl. auch vor all dem bauen noch ein make clean machen...

./configure --sbindir=/usr/sbin/ --with-openssl
make
make install
dnssec-keygen -r ../bind-9.6.1-P3.tar.gz -a RSASHA1 -b 1024 -n ZONE example.net

dnssec-keygen: failed to generate key example.net/RSASHA1: built with no crypto support


Fehlt da nen Devel-Paket ?

Achso Nachtrag:



-rwxr-xr-x 1 root root 4349514 Feb 8 10:12 dnssec-dsfromkey
-rwxr-xr-x 1 root root 1448627 Feb 8 10:12 dnssec-keyfromlabel
-rwxr-xr-x 1 root root 1455021 Feb 8 10:12 dnssec-keygen
-rwxr-xr-x 1 root root 4448205 Feb 8 10:12 dnssec-signzone

Vielleicht :-)

openssl-devel (oder so ähnlich) wäre mal der erste Ansatz...

libopenssl-devel habe ich mit drauf. Hast du noch was anderes an Devel-Paketen ?

einiges :-)

Hm, eigentlich müsste er spätestens beim make eine Fehlermeldung bringen.

Hast Du mal versucht, über ein ded. Prefix in ein anderes VZ zu compilieren und nicht die Standard-Pfade zu nutzn und dann die binary ded. aufzurufen? Nicht, daß da ein evtl. vorhandenes Systembinary Dir einen Streich spielt, weil es vorher im $PATH sitzt (kannst ja auch mal which dnssec-keygen testen oder ohne Parameter mal aufrufen, ob es die richtige Version ist...)

Vielleicht :-)

openssl-devel (oder so ähnlich) wäre mal der erste Ansatz...


einiges :-)

Hm, eigentlich müsste er spätestens beim make eine Fehlermeldung bringen.

Hast Du mal versucht, über ein ded. Prefix in ein anderes VZ zu compilieren und nicht die Standard-Pfade zu nutzn und dann die binary ded. aufzurufen? Nicht, daß da ein evtl. vorhandenes Systembinary Dir einen Streich spielt, weil es vorher im $PATH sitzt (kannst ja auch mal which dnssec-keygen testen oder ohne Parameter mal aufrufen, ob es die richtige Version ist...)

Ich habe es versucht nach /usr/sbin/ zu entpacken und auch mal in ein anderes Verzeichnis. Die DNSSec geschichte wird dann auch immer neu geschrieben. Habe auch mal alles heruntergelöscht.
Macht es Sinn, wenn ich das Configure-Log einmal poste?
Beim Make kam kein Fehler.

Macht es Sinn, wenn ich das Configure-Log einmal poste?
Ja (und zwar am besten in einem pastebin und dann verlinken).



Beim Make kam kein Fehler.

Wenn allerdings configure nach $HEADER sucht und angegebenes $FEATURE aber automatisch deaktiviert, wenn es ihn nicht findet, dann .....?

//edit:

Allerdings fragt man sich schon, was dieses Gefrickel hier soll, denn ein Blick in das src.rpm des _offiziellen_ Pakets von bind9 unter openSUSE-11.1 offenbart Folgendes:


grep openssl bind.spec
BuildRequires: libcap libcap-devel libxml2-devel openssl openssl-devel
--with-openssl \


Und dieses Paket ist auch nicht 9.6.1 sondern



rpm -q bind
bind-9.5.0P2-18.9.1

./dnssec-keygen -r ../bind-9.6.1-P3.tar.gz -a RSASHA1 -b 1024 -n ZONE example.net
Kexample.net.+005+42285

Ich habe ein Update auf den P3 gemacht und mit dem gehts. Merke: Trotz dass der bind-9.6.1-P2 kompatibel sein soll, gehts damit nicht. Mit dem bind-9.6.1-P3 hat jetzt das generieren scheinbar geklappt. Der P3 scheint sich irgendwo noch festgehangen zu haben. Ich teste das.

Danke für Eure Hilfe !

Hallo,


Hat einer seinen Bind schon auf DNSSec umgestellt ?
BIHOB

ja... etwas spät ich weiss :-)

Hier ist der Bind umgestellt und kümmert sich aktiv um signierte Domains. Wenn es noch Fragen gibt immer her damit :-P

Grüße