wheezy-Upgrade: dnssec-tools, NSEC, NSEC3

Wer vor dem Upgrade auf wheezy die dnssec-tools mit NSEC statt NSEC3 benutzt hat, der wird nach dem wheezy-Update eine böse Überraschung erleben: Zonen lassen sich weder neu signieren noch der rollerd starten.

Die Fehlermeldung ist etwas nichtssagend:

**************************************** here: 2011._domainkey.billigmail.org.

Der Hintergrund ist, dass im File Fast.pm in der neuen Version von dnssec-tools anscheinend der Support für NSEC-RRs eingestellt wurde. Man muss also auf NSEC3 migrieren. Das geht folgendermaßen:

Als erstes löscht man aus allen .krf>-Dateien den rollmgr-Eintrag, welcher auf rollerd verweist.

Danach stellt man in /etc/dnssec-tools/dnssec-tools.conf den Wert usensec3 auf yes.

Man signiert nun alle Zonen einmal per Hand mit zonesigner.

Danach kann man den rollerd wieder starten.

Ich überlege gerade noch, ob ich da nen Bugreport aufmachen soll, denn in der Doku ist dieser Stolperstein nicht beschrieben.